Bab 4 EVALUAS I PENGENDALIAN S IS TEM INFORMAS I PERKREDITAN PAD A PT. BANK KES EJAHTERAAN EKONOMI 4.1 Rencana Kerja Evaluasi Bab ini menyajikan hasil dari kegiatan evaluasi yang dilakukan dengan metode pengumpulan data check list, kuesioner dan observasi. Pada bab ini berisikan temuantemuan yang dihasilkan berdasarkan standar COBIT 4.1. Berikut adalah table rencana kerja evaluasi: Table 4.1 Rencana Kerja Evaluasi Aktivitas Mengajukan propos al untuk melakukan evaluasi kepada pihak Bank Kesejaht eraan Ekonomi. Melakukan obs ervasi terhadap Bank Kesejahteraan Ekonomi untuk pengenalan akan Bank Kesejahteraan Ekonomi Mengumpulkan data tentang j alannya system perkreditan, prosedur-prosedur t erhadap pros es perkreditan dan laporan yang dihasilkan. Mengetahui arsitektur informasi yang digunakan pada Bank Kesejahteraan Ekonomi. Menyerahkan check list tahap pertama yang berisi control objective. Menyerahkan check list tahap kedua yang berisi maturity level. Melakukan evaluasi terhadap check list yang telah diisi dan melakukan evaluasi terhadap system perkreditan yang digunakan Menentukan kesimpulan atas hasil evaluasi yang didapat, dan memberikan rekom endasi usulan kepada Bank Kesej ahteraan Ekonomi.
Hasil yang didapatkan Disetujui proposal yang diajukan dan berada dibawah naungan Divisi Teknologi Sistem Informasi Mendapatkan annual report dari Bank Kesejahteraan Ekonomi yang berisi laporan keuangan, struktur organisasi, sejarah perus ahaan beserta visi, misi perusahaan. Mendapatkan data tentang alur pros es perkreditan beserta pros edur-prosedur dan laporan yang dihasilkan. Mendapatkan aplikasi, termasuk spesi fikasi hardware, software, brainware, network, dan database Mendapatkan check list beserta jawaban berdas arkan tiap-tiap bagian yang bers angkutan. Mendapatkan check list dan jawaban dari bagian TSI dan bagian-bagian yang bers angkutan. Menemukan hasil evaluasi dan laporannya.
Mengetahui hasil evaluasi dan rekom endasi usulan yang bersangkutan pada temuan-temuan yang ada.
102
4.2 Kriteria Evaluasi Pengendalian Sistem Informasi 4.2.1 Kriteria Pengukuran Pada Customer Perspective Kiteria atau indiktor pengukuran berdasarkan Customer Perspective adalah sebagai berikut:
Gambar 4.1 Kriteria Pengukuran Customer Perspective 103
4.3 Pelaksanaan Evaluasi Pengendalian Sistem Informasi Perkreditan 4.3.1 Analisa Temuan dan Rekomendasi Tabel 4.2 Analisa Temuan dan Rekomendasi
Domain dan Proses
Plan and Organise PO1 Define a Strategic IT Plan
PO2 Define the Information Architecture
PO3 Determine the Technological Direction
Kriteria
Temuan
Rekomendasi
PO1.1 PO1.2 PO1.3 PO1.4 PO1.5 PO1.6
Perusahaan telah memiliki program untuk mengidentifikasi kekurangan at au kesalahan dal am penginputan data. Sehingga antara proses bisnis dan IT terintegrasi. Perusahaan melakukan evaluasi kinerja terhadap sistem tapi hal ini belum ada peraturan tertulis yang mengatur periode untuk melakukan evaluasi. Perencanaan strategis IT dibuat berdas arkan dokumentasi rencana IT, sehingga sistem dapat mencapai tujuan bisnis perusahaan.
PO2.1 PO2.2 PO2.3 PO2.4
Perusahaan telah memiliki gambaran model proses bisnis yang digunakan untuk melakukan pengembangan sistem informasi. Akan tetapi perusahaan tidak menggunakan kamus data sebagai dasar aturan dalam pertukaran elemen data. Perusahaan memiliki skema atas pembagian data berdasrkan sensitifitas dan tingkat kepentingan data. Adanya prosedur yang dikelola guna menjamin integritas dan konsistensi data. Perusahaan telah melakukan proses analisa, pemilihan dan penggunaan teknologi guna mendukung proses bisnis perusahaan dan ada kebijakan intern yang mengatur penggunaan teknologi. Ada perencanaan
Perencanaan IT yang ada pada perusahaan cukup baik, hal ini terlihat pada dokumentasi yang dilakukan setiap melakukan pengembangan. Akan tetapi dalam melakukan evaluasi kinerja sistem, tidak terdapat peraturan tertulis yang mengatur hal tersebut. Sehingga evaluasi tidak dilakukan secara periodik. Oleh karena itu perusahaan terut ama divisi TSI (Teknologi Sistem Informasi) membuat peraturan secara tertulis untuk melakukan evaluasi terhadap kinerj a sistem. Perusahaan memiliki arsitekture informasi yang jelas, akan tetapi perusahaan tidak mengenal adanya kamus data melainkan problem lock. Sehingga tidak adanya aturan dalam pertukaran elemen dat a. Oleh karena itu perusahaan harus menet apkan kamus data yang digunakan sebagai aturan untuk pertukaran elemen data.
Metode
ITGI-CobIT 4.1
PO3.1 PO3.2 PO3.3 PO3.4
Proses yang dilakukan perusahaan untuk penggunaan teknologi dan pengawasan telah ada, serta ada kebijakan intern yang dilakukan perusahaan. Oleh karena itu kebijakan intern harus
Observasi Kuesioner
Kuesioner
Kuesioner
104
PO3.5 PO4 Define the IT Processes, Organisation and Relationships
PO5 Manage the IT Invesment
PO6 Communicate Management Aims and Directions
PO7 Manage IT Human Resources
PO4.1 PO4.2 PO4.3 PO4.4 PO4.5 PO4.6 PO4.7 PO4.8 PO4.9 PO4.10 PO4.11 PO4.12 PO4.13 PO4.14 PO4.15 PO5.1 PO5.2 PO5.3 PO5.4 PO5.5 PO6.1 PO6.2 PO6.3 PO6.4 PO6.5 PO7.1 PO7.2 PO7.3 PO7.4 PO7.5 PO7.6 PO7.7 PO7.8
infrastruktur, pengawasan perkembangan teknologi dan bisnis secara berkal a. Adanya krangka kerja IT, Komite strategis IT, dan komite pelaksana IT. Penerapan fungsi IT pada bagian perkreditan. Ada struktur Organisasi IT yang mengatur tentang wewenang dan tanggung jawab anggota IT. Adanya pengawasan terhadap fungsi IT maupun sumberdaya IT untuk mengurangi resiko yang mungkin terjadi. Perusahaan menjalin kerjasam a dengan pihak outsource dalam melakukan pengembangan sistem.
didukung oleh kebijakan ekstern dalam melakukan pengembangan sistem. Adanya pemisahaan yang tertulis dalam pengaturan wewenang dan tanggung jawab anggota yang tertuang dalam struktur organisasi IT. Perusahaan menjalin kerjasama dengan pihak outsorce dalam melakukan pengembangan sistem. Hal tersebut harus ditingkatkan dengan menetapkan standard an kebijakan dalam menjalin kerjasama dengan pihak outsource.
Observasi
Perusahaan tidak melakukan evaluasi terhadap biaya yang digunakan oleh IT.
Dilakukan evaluasi secara berkala untuk mengetahui efisien dan efekti fitas dalam penggunaan biaya dal am IT.
Observasi Kuesioner
Adanya kebijakan intern dan pengendalian IT. Ada kerangka kerja sebagai pendekat an terhadap masalah, resiko dan pengendalian IT. Adanya pemahan terhadap tujuan penggunaan IT oleh pengguna maupun manajemen atas. Perusahaan melakukan test untuk setiap staff baru tapi tidak adanya batasan minimum dalam penerimaan karyawan. Melakukan evaluasi terhadap kinerja staff secara berkala. Adanya kegiatan training untuk para staff. Adanya pertukaran informasi antara staff.
Selain kebijakan intern untuk mengatur penggunaan IT, baiknya diterapkan juga kebijakan ekstern untuk meningkatkan kinerja sistem. Serta melakukan evaluasi terhadap kebijakan sesuai dengan perkembangan IT. Tetapkan aturan secara jelas dalam penerimaan karyawan. Bedakan staf yang melakukan evaluasi terhadap kinerj a staf lainnya untuk mendapatkan hasil yang akurat.
Observasi Kuesioner
Observasi Kuesioner
105
Acquire and Implement AI1 Identify Automated Solutions
AI2 Acquire and Maintain Application Software
AI4 Enable Operation and Use
AI5 Procure IT Resources
AI6 Manage Changes
ITGI-CobIT 4.1 AI1.1 AI1.2 AI1.3 AI1.4
AI2.1 AI2.2 AI2.3 AI2.4 AI2.5 AI2.6 AI2.7 AI2.8 AI2.9 AI2.10 AI4.1 AI4.2 AI4.3 AI4.4 AI5.1 AI5.2 AI5.3 AI5.4
AI6.1 AI6.2 AI6.3 AI6.4 AI6.5
Perusahaan telah menganalisis resiko yang terkait dengan proses bisnis serta telah membuat rancangan solusi sebagai penyelesaian. Perusahaan tidak membagi wewenang secara detail kepada setiap anggota, sehingga jika terjadi kesalahan penyelesai annya cukup lama. Belum adanya software khusus untuk mengidentifikasi permasalah yang mungkin timbul.
Menjelaskan secara detail dan menetapkan peraturan yang jelas dalam wewenang setiap staf. Observasi Kuesioner
Membangun sistem untuk mengidentifikasi kemungkinan permasalahan yang timbul. Observasi Kuesioner
Ada pelatihan terhadap para pengguna sistem, serta ada modul untuk membantu user dalam menggunakan sistem. Tidak dilakukannya evaluasi terhadap pengetahuan pengguna terhadap IT. Adanya prosedur pengendalian tentang pengembangan sistem. Ada kebijakan mengenai kesepakatan kontrak dengan konsultan. Dilakukan pemilihan supplier yang sesuai dengan kebutuhan. Adanya perlindungan terhadap kontrak yang telah disepakati. Terdapat prosedur yang disusun untuk menangani perubahan aplikasi dan ada penilaian secara terstruktur terhadap setiap perubahan. Adanya proses untuk menentukan, menguji, mendokumentasikan, menilai dan menyetujui perubahan yang mengacu pada solusi dari langkah vendor. Adanya laporan tentan diterima atau ditolaknya perubahan sistem.
Lakukan evaluasi secara berkal a terhadap para pengguna sebagai dasar dari hasil kegiatan training.
Observasi
Lakukan evaluasi dari setiap pengendalian dan kebijakan yang mengatur dengan pihak luar. Observasi Kuesioner
Setiap dilakukan perubahan terhadap sistem, baiknya dilakukan evaluasi terhadap perubahan tersebut secara berkelanjutan. Kuesioner
106
Deliver and Support DS2 Manage ThirdParty Services
DS3 Manage Performance and Capacity
DS5 Ensure Systems Security
DS6 Identify and Allocate Costs
DS10 Manage Problems
ITGI-CobIT 4.1 DS2.1 DS2.2 DS2.3 DS2.4 DS3.1 DS3.2 DS3.3 DS3.4 DS3.5 DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11 DS6.1 DS6.2 DS6.3 DS6.4 DS10.1 DS10.2 DS10.3 DS10.4
Tidak adanya antisipasi dini jika terjadi kesalahan input data perkreditan, sehingga data tersebut langsung masuk ke dalam database. Tidak adanya rate yang membatasi pengisian NPWP pada aplikasi rating koperasi. Tidak adanya rencana kinerja dan kapasitas sistem pada perusahaan. Belum memadainya sistem yang ada karena kebijakan investasi.
Pada sistem diberikan peringatan setiap melakukan input data maupun perbaikan data. Memberikan rate pada bagian NPWP sesuai dengan peraturan yang ada. Tentukan rencana kinerj a dan kapasitas sistem sebelum ditemukannya Bugs pada sistem. Bicarakan kebijakan kepada pihak direksi dan direktur.
Pengamanan yang dilakukan perus ahaan untuk melindungi sistem dari gangguan pihak ekstern perusahaan cukup baik yaitu penggunaan antivirus Symantex dan PC-Mav, serta ada sistem login yang telah ditentukan oleh admin pada sistem rating dan pembatasan orang yang menggunakan bank Checking.
Untuk penggunaan antivirus yang ada, baiknya mengikuti perkembangan antivirus, setidaknya dilakukan update setiap saat dan menggunakan firewall yang yang telah baik bukan hanya standar dari aplikasi OS.
Perusahaan tidak melakukan peninjauan kelayakan terhadap biaya pada IT secara berkala.
Lakukan peninjauan secara berkala, bila perlu lakukan pengecekkan setiap dilakukannya pembelian IT baru.
Tidak adanya fasilitas pelacakan masalah maupun pendekat an masalah, sehingga tidak adanya integrasi dengan proses penyel esaian masalah.
Bangun program khusus untuk melacak masalah yang mungkin timbul pada aplikasi sistem, sehingga kegiatan bisnis perusahaan tidak terganggu dan tidak merugikan perusahaan.
Observasi Kuesioner
Observasi Kuesioner
Observasi Kuesioner
Observasi Kuesioner
Observasi Kuesioner
107
Monitor and Evaluate ME1 Monitor and Evaluate IT Performance
ME4 Provide IT Governance
ITGI-CobIT 4.1 ME1.1 ME1.2 ME1.3 ME1.4 ME1.5 ME1.6 ME4.1 ME4.2 ME4.3 ME4.4 ME4.5 ME4.6 ME4.7
Adanya pengawasan, pengukuran dan tinjauan kualitas untuk melakukan tindakan perbaikan.
Lakukan evaluasi terhadap tinjauan kualitas untuk melakukan tindakan perbaikan. Observasi
Perusahaan telah menyusun kerangka IT. Para manajemen mengerti tentang permasalahan IT. Sumberdaya IT mendukung peningkatan penggunaan IT. Perusahaan melakukan evaluasi secara berkal a.
Hal tersebut cukup baik,tapi masih kurang jika tidak dilakukan pengembangan sistem mengikuti perkembangan teknologi saat ini. Kuesioner
108
4.3.2 Analisa Maturity Level Tabel 4.3 Level 0 PO1 Level 0 PO1 No. 1 2
Statements
Not at all x
How much do you agree? A little Quite a lot Completely
Perencanaan strategis IT belum dilaksanakan. Tidak ada kesadaran manajemen bahwa perencanaan strategis TI dibutuhkan untuk mendukung tujuan bisnis. x Total
Statements compliance values 0 0 0.00
Tabel 4.4 Level 1 PO1 Level 1 PO1 No. 1 2 3 4 5
Statements Kebutuhan akan perencanaan strategis TI telah disadari oleh manajemen TI Perencanaan TI dilakukan sebagai dasar kebutuhan untuk merespon kebutuhan spesifik bisnis. Perencanaan strategis TI secara berkal a dibahas dalam rapat manajemen TI. Kesesuai an antara kebutuhan bisnis, aplikasi dan teknologi lebih dominan dibandingkan strategi organisasi. Posisi resiko strategis diidentifikasi dalam dalam dasar proyek perusahaan. Total
Not at all
How much do you agree? A little Quite a lot Completely
x x
Statements compliance values
x
1
x
1
x
1 0.66 0.33 3.99
109
Tabel 4.5 Level 2 PO1
Level 2 PO1 No. 1 2 3 4
Statements
Not at all
Perencanaan strategis TI digunakan bersama dalam manajemen bisnis sebagai sebuah kebutuhan das ar. Perbaharuan dari rencana TI terjadi sebagai respon dari permintaan manajemen.
How much do you agree? A little Quite a lot Completely
Statements compliance values
x
Keputusan strategis dilaksanakan dalam dasar proyek-proyek tanpa konsistensi strategi perusahaan keseluruhan. Resiko dan keuntungan pengguna dari keputusan strategis diakui secara intuitif. Total
1
x
0.66
x
0.66
x
0.66 2.98
Tabel 4.6 Level 3 PO1 Level 3 PO1 No. 1 2 3 4
Statements
Not at all
How much do you agree? A little Quite a lot Completely
Ada sebuah kebijakan untuk menentukan kapan dan bagaimana melakukan perencanaan strategis TI. Perencanaan strategis TI mengikuti pendekatan terstruktur yang didokumentasikan dan diketahui oleh semua staf. Proses perencanaan TI menandakan dan memastikan bahwa perencanaan yang sesuai akan dilakukan. Kewenangan diberikan kepada manaj er masing-masing sehubungan dengan pelaksanaan proses, dan tidak ada prosedur untuk memeriksa proses.
x
Statements compliance values 1
x
0.66
x
0.66
x
0.66
110
No.
How much do you agree?
Statements Not at all
5
Keseluruhan strategi TI mencakup sebuah definisi konsisten mengenai resiko dimana organisasi dapat memilih untuk menjadi inovator atau follower.
6
Perencanaan keuangan, teknikal, dan sumber daya TI semakin berpengaruh dalam akuisisi produk baru dan teknologi. Perencanaan strategis TI dibicarakan dal am rapat bisnis manajemen.
7
A little
Quite a lot
Completely
x
Statements compliance values
0.33 x
0.66
x
0.66 4.63
Total
Tabel 4.7 Level 4 PO1 Level 4 PO1 No. 1 2 3
4
5
Statements Perencanaan srategis TI merupakan praktik standar dan jika terjadi pengecualian akan diketahui oleh manajemen. Perencanaan strategis TI merupakan fungsi manajemen dengan tanggung jawab dari level senior. Manajemen mampu untuk mengawasi proses perencanaan strat egis TI, membuat keputusan berdasarkannya, dan mengukur keefekti fannya. Baik perencanaan IT jangka pendek dan jangka panjang telah ditentukan dan digunakan di dalam organisasi, dengan update dilakukan saat dibutuhkan. Strategi IT dan strategi umum perusahaan semakin menjadi terkoordinasi dengan menunjukan proses bisnis dan nilai tambah dan meningkatkan penggunaan aplikasi dan teknologi melalui proses bisnis re-enginering.
Not at all
How much do you agree? A little Quite a lot Completely x
Statements compliance values 0.66
x
0.33
x
0.33
x
0.66
x
1
111
No.
How much do you agree?
Statements Not at all
6
Adanya proses yang terdefinisi dengan baik untuk menunjukan penggunaan sumber daya internal dan eksternal yang dibutuhkan dalam pengembangan sistem dan operasional. Total
A little
Quite a lot
Statements compliance values Completely
x
0.33 3.31
Tabel 4.8 Level 5 PO1 Level 5 PO1 No. 1
2 3
4
5
Statements
Not at all
Perencanaan strategis TI merupakan sebuah proses yang didokumentasikan, secara berkelanjutan diperhatikan dalam pengaturan tujuan bisnis dan hasil yang terlihat dalam nilai bisnis melalui investasi di bidang TI. Pertimbangan resiko dan nilai tambah secara terus menerus diperbaharui di dalam proses perencanaan strategis TI. Rencana nyat a TI jangka panjang telah dikembangkan dan secara konstan diperbaharui untuk menyesuaikan dengan perubahan teknologi dan perkembangan yang berkaitan dengan bisnis. Pembandingan terhadap norma industri yang sepenuhnya dimengerti dan handal telah dilakukan dan terintegrasi dengan proses perencanaan strategi. Perencanaan strategi meliputi bagaimana pengembangan teknologi baru dapat mengantarkan terciptanya kemampuan bisnis baru dan meningkatkan kemampuan bers aing perusahaan. Total
How much do you agree? A little Quite a lot Completely
x
Statements compliance values
0.33 x
0.66
x
0.66
x
0.33
x
0.66 2.64
112
4.3.3 Penghitungan Maturity level Tabel 4.9 Maturity Level PO1 Maturity Level 0 1 2 3 4 5
Sum of Statements compliance values 0.00 3.99 2.98 4.63 3.31 2.64
Number of maturity level statements
Maturity level compliance value 2 5 4 7 6 5
0.00 0.80 0.75 0.66 0.55 0.53 3.28
Normalized compliance values
Contribution
0.00 0.24 0.23 0.20 0.17 0.16 1.00
0.00 0.24 0.45 0.60 0.67 0.80 2.78
Berdasarkan perhitungan maturity level dapat dilihat: 1. PO1 berada pada level 2 yang berarti perusahaan telah memiliki perencanaan sistem yang telah distandarisasi, didokumentasikan dan dikomunikasikan, serta telah melakukan pengembangan sistem tapi belum ada pengawasan dari pihak manajemen. 2. PO2 berada pada level 2 (dapat dilihat pada L87) yang berarti perusahaan memahami pentingnya arsitektur dan telah menetapkan kebijakan dasar arsitektur sistem informasi, serta adanya rencana pelatihan yang bersifat formal, akan tetapi pelatihan tersebut masih berdasrkan oleh inisiatif individual. 3. PO3 berada pada level 2 (dapat diliha pada L87) yang berarti manajemen memahami pentingnya infrastruktur teknologi dengan mendefinisikan rencana infrastruktur teknologi tapi belum diaplikasikan secara konsisten. 4. PO4 berada pada level 2 ( dapat dilihat pada L88) yang berarti perusahaan telah menetapkan dan mengembangkan struktur organisasi IT, ditentukannya lingkungan pengendalian internal dan ada formalisasi hubungan dengan pihak
113
lain, tapi belum ada pengukuran untuk mendukung sasaran bisnis dan faktor kesuksesan. 5. PO5 berada pada level 2 (dapat dilihat pada L88) yang berarti perusahaan telah memformalkan, mendokumetsikan dan mengkomunikasikan investasi IT, serta melakukan pelatihan formal terhadap para staf, tetapi pelatihan formal masih didasarkan pada inisiatif individu. 6. PO6 berada pada level 2 (dapat dilihat pada L88) yang berarti pengendalian informasi dan lingkungan manajemen kulitas telah dikembangkan sepenuhnya, didokumentasikan dan dikomunikasikan. Proses pengembangan kebijakan telah terstruktur, terawatt dan diketahui oleh staff. M anajemen menetapkan pentingnya keamanan IT serta adanya pelatihan staf secara formal untuk mendukung lingkungan pengendalian sistem informasi tapi tidak diaplikasikan secara tegas. 7. PO7 berada pada level 3 (dapat dilihat pada L88) yang berarti adanya proses yang didefinisikan dan didokumentasikan untuk mengelola sumberdaya manusia. Terdapat rencana manajemen sumber daya manusia. Adanya pelatihan untuk sumberdaya manusia. 8. PO8 berada pada level 2 (dapat dilihat pada L89) yang berarti proses Quality Management System (QM S) telah ditentukan dan dibicarakan oleh perusahaan. adanya program pendidikan dan pelatihan untuk meningkatkan kualitas. Adanya survey yang direncanakan untuk mengetahui kepuasan terhadap kualitas sistem manajemen tapi tidak dilakukan secara berkala. 9. PO10 berada pada level 3 (dapat dilihat pada L89) yang berarti proses manajemen proyek IT dan metodologi telah ditetapkan dan dikomunikasikan. Proyek-proyek IT didefinisikan sesuai tujuan. Adanya komitmen antara senior IT 114
dan manajemen bisnis dalam pengelolaan proyek. Proyek mulai dikelola sebagai portofolio. Prosedur dan implementasi sistem didefinisikan, tapi tidak secara luas diterapkan oleh manajer IT. 10. AI1 berada pada level 3 (dapat dilihat pada L89) yang berarti adanya pendekatan yang jelas dan terstruktur dalam menentukan solusi IT. M empertimbangkan evaluasi alternative terhadap kebutuhan pengguna, peluang teknologi, kelayakan ekonomi, penilaian resiko dan faktor lain untuk menentukan solusi IT.proses untuk menentukan solusi IT diaplikasikan kedalam beberapa proyek.. 11. AI2 berada pada level 2 (dapat dilihat pada L89) yang berarti tingkat kesuksesan aplikasi sangat tergantung pada kemampuan dan pengalaman kerja IT. Keamanan dan ketersediaan aplikasi dalam perancangan, atau akuisisi sotware aplikasi menjadi pertimbangan kecil. Pemeliharaan tidak berjalan dengan baik dan mengalami masalah ketika kehilangan pengetahuan internal perusahaan. 12. AI3 berada pada level 3 (dapat diliha pada L90) yang berarti adanya proses yang jelas, terdefinisis dan dapat dimengerti mengenai akuisisi dan pemeliharaan infrastruktur IT. Proses tersebut mendukung kebutuhan dari aplikasi bisnis yang terpenting dan disesuaikan dengan IT dan strategi bisnis. Perawatannya direncanakan, dijadwalkan, dan dikoordinasikan. Adanya lingkungan yang terpisah untuk pengujian dan produksi. 13. AI4 berada pada level 3 (dapat dilihat pada L90) yang berarti tersedianya dokumentsi kerangka kerja yang jelas, dapat dipahami dan dimengerti oleh pengguna. Perbaikan dokumentsi dan prosedur dilakukan atas reaksi secara spontan. Prosedur dapat diakses jika terjadi maslaah. Adanya pendekatan yang terperinci tapi pada penerapannya sangat bervariasi karena tidak ada kendali. 115
Pengguna dilibatkan secara informal dalam proses pengembangan dan pemeliharaan prosedur. 14. AI5 berada pada level 3 (yang dapat dilihat pada L90) yang berarti manajemen membuat kebijakan dan prosedur untuk proses pengakuisisian IT. Kebijakan dan prosedur berpedoman pada proses pengadaan organisasi secara keseluruhan. Akuisisi IT sebagian besar telah terintegrasi dengan keseluruhan sistem pengadaaan bisnis. Ada standar IT untuk proses akuisisi sumberdaya IT. 15. AI6 berada pada level 3 (yang dapat dilihat pada L90) yang berarti proses perubahan manajemen yang tidak formal dan sebagian besar perubahan yang dilakukan mengikuti pendekatan tersebut, dimana masih belum terstruktur, tidak sempurna dan rentan akan resiko. Keakuratan susunan dokumentasi tidak konsisten hanya terbatas pada perencanaan dan penilaian dampak sebelum dilakukan perubahan. 16. AI7 berada pada level 3 (yang dapat dilihat pada L91) yang berarti ada beberapa konsistensi antara pendekatan pengujian dan akreditasi, tapi tidak berdasarkan metodologi apapun. Keputusan mengenai pengujian dilakukan oleh anggota tim pengembangan dan biasanya terjadi kelalaian dalam pengintegrasian oengujian. Terdapat proses persetujuan yang dilakukan secara informal. 17. DS1 berada pada level 3 (yang dapat dilihat pada L91) yang berarti terdapat tingkatan layanan yang disepakati, tapi informal dan tidak ditinjau. Pelaporan tingkatan layanan tidak lengkap dan mungkin tidak relevan. Coordinator tingkatan layanan layanan ditetapkan dengan tanggung jawab yang ditentukan tapi wewenangnya terbatas. Jika ada proses kepatuhan basi SLA, sifatnya sukarela dan tidak dipertegas. 116
18. DS2 berada pada level 3 (yang dapat dilihat pada L91) yang berarti adanya prosedur yang didokumentasikan untuk layanan pihak ke-3 dengan proses yang jelas untuk bernegosiasi dengan vendor. Hubungan dengan pihak ke-3 murni bersifat kontraktual. Sifat layanan yang akan diberikan diperinci di kontrak dan termasuk persyaratan legal operasional dan control. Adanya pengawasan terhadap tanggung jawab pihak ke-3. pernyataan kontraktual didasarkan atas kalimat yang distandarisasi. Resiko bisnis yang terkait dengan pihak ke-3 dinilai dan dilaporkan. 19. DS3 berada pada level 3 (yang dapat dilihat pada L91) yang berarti persyaratan kinerja dan kapasitas ditentukan melalui siklus hidup sistem. Terdapat persyaratan dan metrik tingkatan layanan yang ditentukan untuk mengukur kinerja operasional. Adanya model untuk persyaratan kinerja dan kapasitas di masa yang akan dating setelah proses yang ditentukan. Laporan dibuat dengan memberikan statistik kinerja. M asalah yang menyangkut kinerja dan kapasitas mungkin terjadi dan memaakan waktu untuk memperbaikinya. Selain tingkat layanan yang di umumkan, pengguna dan pelanggan dapat merasa skeptis tentang kapabilitas layanan. 20. DS4 berada pada level 3 (yang dapat dilihat pada L92) yang berarti akuntabilitas untuk manajemen layanan bersifat ambigu. Tanggung jawab akan perencanaan dan pengujian layanan
ditetapkan dengan jelas dan ditugaskan. Rencana
kelanjutan IT didokumentasikan dan didasarkan pada kritikal sistem dan dampak bisnisnya. Adanya pelaporan pengujian layanan secara berkala. Individu mengambil inisiatif untuk mengikuti standard dan menerima pelatihan untuk berhadapan dengan insisden atau bencana besar. 117
21. DS5 berada pada level 3 (yang dapat dilihat pada L92) yang berarti adanya kesadaran keamanan dan didorong oleh manajemen. Prosedur keamanan IT ditentukan dan disejajarkan dengan kebijakan keamanan IT. Tanggung jawab akan keamanan IT ditugaskan dan dimengerti, tapi tidak ditegaskan secara konsisten. Recana keamanan dan solusi keamanan IT ada karena analisis resiko. Pelaporan keamanan tidak berisikan focus bisnis yang jelas. Pengujian keamanan ad hoc dilakukan. Tersedianya pelatihan keamanan untuk IT dan bisnis, tapi dijadwalkan dan diatur secara informal. 22. DS6 berada ada level 3 (yang dapat dilihat pada L92) yang berarti adanya kesadaran akan kebutuhan untuk mengidentifikasikan dan mengalokasikan biaya. Alokasi biaya didasarkan atas asumsi biaya informal atau belum sempurna. Proses alokasi biaya dapat diulang. Tidak ada pelatihan formal atau komunikasi pada prosedur identifikasi dan alokasi biaya. Tidak adanya tanggung jawab untuk pengumpulan atau pengalokasian biaya. 23. DS7 berada pada level 3 (yang dapat dilihat pada L92) yang berarti program pelatihan dan pendidikan diinstitusikan dan dibicarakan, pegawai dan manajer mengidentifikasi dan mendokumentasi kebutuhan pelatihan. Proses latihan dan pendidikan distandarisasi dan didokumentasikan. Anggaran, sumberdaya, fasilitas dan pelatih disiapkan untuk mendukung program pelatihan dan pendidikan. Kelas formal diberikan kepada pegawai mengenai perilaku etis dan kesadaran dan prakter keamanan sistem. Sebagian besar proses pelatihan dan pendidikan diawasi, tapi sepertinya tidak semua penyimpangan terdeteksi oleh manajemen. Analisis masalah pelatihan dan pendidikan hanya diterapkan pada waktu tertentu. 118
24. DS8 berada pada level 3 (yang dapat dilihat pada L93) yang berarti dibutuhkannya bagian layanan dan proses insiden diketahui dan diterima. Prosedur telah distandarisasi dan didokumentasi, dan terjadinya pelatihan informal. Keraguan dan insisden dilacak atas dasar manual dan diawasi secara individual, tapi sistem pelaporan formal tidak ada. Respon yang tepat waktu terhadap keraguan dan insisden tidak diukur dan insisden tidak dapat terpecahkan. 25. DS10 berada pada level 3 (yang dapat dilihat pada L93) yang berarti dibutuhkannya sistem manajemen yang terintegrasi, efektif untuk masalah, diterima dan dibuktikan. Resolusi masalah dan proses pengangkatan telah distandarisasi. Tidak terdeteksinya penyimpangan dari norma atau standar yang ditetapkan. Informasi dibagi antara staf dengan cara yang proaktif dan formal. Tinjauan manajemen akan insiden dan analisis identifikasi dan resolusi masalah terbatas dan informal. 26. DS11 berada pada level 3 (yang dapat dilihat pada L93) yang berarti tanggung jawab akan manajemen data ditetapkan. Kepemilikan data ditugaskan kepada pihak yang bertanggung jawab yang mengontrol integritas dan keamanan. Prosedur manajemen data diformalisasikan dalam IT. Sedikit pengawasan atas tersedianya manajemen data. M unculnya pelatihan untuk anggota staf manajemen data. 27. DS12 berada pada level 3 (yang dapat dilihat pada L93) yang berarti perusahaan menerima dan memahami kebutuhan untuk mempertahankan lingkungan komputerisasi. Pengendalian lngkunga, pertahanan, pencegahan dan keamanan
119
fisik adalah hal anggaran yang disetujui dan diawasi oleh manajemen.fasilitas fisik masih rendah dan belum dapat diidentifikasi. 28. DS13 berada pada level 3 (yang dapat dilihat pada L94) yang berarti perlunya manajemen operasi computer dipahami dan diterima di dalam organisasi. Sumberdaya dialokasikan dan terjadi beberapa pelatihan. Fungsi dapat diulang, ditentukan, distandarisasi, didokumentasikan dan dibicarakan secara formal. Peristiwa dan hasil pekerjaan yang telah selesai dicatat, dengan pelaporan terbatas kepada manajemen. Pemeliharaan dan kesepakatan layanan dengan vendor masih bersifat informal. 29. M E1 bearada pada level 2 (yang dapat dilihat pada L94) yang berarti pengukuran dasar
yang akan
diawasi diidentifikasi.
Terdapat
metode dan teknik
pengumpulan dan penilaian, tapi prosesnya tidak diambil dari seluruh organisasi. Hasil pengawasan didasarkan atas keahlian individu. 30. M E4 berada pada level 3 (yang dapat dilihat pada L94) yang berarti adanya keasadaran akan masalah tatakelola IT. Dikembangkannya aktivitas tata kelola IT dan indicator kinerja. Proses IT diidentifikasi untuk peningkatan yang didasarkan atas keputusan individu. Komunikasi pada standar tata kelola dan tanggung jawab diserahkan kepada individu.
120
4.3.4 Kondisi Perusahaan Saat Ini Berikut adalah perhitungan maturity level dari segi IT Process: Tabel 4.10 Maturity Level IT Process IT Proses
Maturity Level
PO1
2.78
PO2
2.92
PO3
2.97
PO4
2.87
PO5
2.92
PO6
2.94
PO7
3.10
PO8
2.61
PO10
3.16
AI01
3.34
AI02
3.42
AI03
3.40
AI04
3.29
AI05
3.02
AI06
3.53
AI07
3.44
DS01
3.56
DS02
3.31
DS03
3.23
DS04
3.23
DS05
3.34
DS06
3.36
DS07
3.29
DS08
3.52
DS10
3.16
DS11
3.15
DS12
3.15
DS13
3.15
ME01
2.86
ME04
3.34
121
Berdasarkan perhitungan Maturity Level IT Process IT Process (lihat pada L87 sampai L94)yang berdasarkan pada Linking Business Goals “ Customer Perspective ”diatas maka didapat tiga table perhitungan Maturity, yaitu: Tabel 4.11 MaturityLevel IT Process per Domain IT Proses
Maturity Level
PO1
2.78
PO2
2.92
PO3
2.97
PO4
2.87
PO5
2.92
PO6
2.94
PO7
3.10
PO8
2.61
PO10
3.16
AI01
3.34
AI02
3.42
AI03
3.40
AI04
3.29
AI05
3.02
AI06
3.53
AI07
3.44
DS01
3.56
DS02
3.31
DS03
3.23
DS04
3.23
DS05
3.34
DS06
3.36
DS07
3.29
DS08
3.52
DS10
3.16
DS11
3.15
DS12
3.15
DS13
3.15
ME01
2.86
ME04
3.34
Maturity Level Domain
Maturity Global
2.92 (rata-rat a PO1-PO10)
3.35 (rata-rat a AI1-AI7) 3.16 (rata-rat a dari domain PO, AI, DS, ME)
3.29 (rata-rat a DS1-DS13)
3.10 (rata-rat a ME1 dan ME4)
122
Tabel 4.12 Maturity Process per IT Goals No.
IT G OALS
IT.P
M.L
IT.P
M.L
IT.P
M.L
IT.P
Processes and Maturity Level M.L IT.P M.L IT.P M.L IT.P
1
Respond to business requirements in alignment with the business strategy.
P O1
2.78
P O2
2.92
P O4
2.87
P O10
3.16
AI1
3.34
2
Respond to governance requirements in line with board direction. Ensure satisfaction of end users with service offerings and service levels. Optimise the use of information. Create IT agility. Acquire and maintain integrated and standardised application systems.
P O1
2.78
P O4
2.87
P O10
3.16
ME1
2.86
ME4
3.34
P O8
2.61
AI4
3.29
DS1
2.56
DS2
3.31
DS7
3.29
P O2
2.92
DS11
3.15
P O2 P O3
2.92 2.97
P O4 AI2
2.87 3.42
8
Acquire and maintain an integrated and standardised IT infrastructure.
AI3
3.4
AI5
3.02
10
Ensure mutual satisfaction of thirdparty relationships.
DS2
3.31
12
Ensure transparency and understanding of IT cost, benefits, strategy, policies and service levels.
P O5
2.92
3
4 5 7
AI6
3.53
AI7
M.L
IT.P
M.L
IT.P
M.L
IT.P
M.L
3.44
DS1
3.56
DS3
3.23
ME1
2.86
Maturity level rata-rata 3.17
3.00
DS8
3.52
DS10
3.16
DS13
3.15
3.11
3.04 P O7 AI5
3.1 3.02
AI3
3.4
3.07 3.14
3.21
3.31
P O6
2.94
DS1
3.56
DS2
3.31
DS6
3.36
ME1
2.86
ME4
3.34
3.18
123
Tabel 4.12 lanjutan No. 16
20
22
23
24
25
26
P rocesses and Maturity Level
IT GOALS Reduce solution and service delivery defects and rework. Ensure that automated business transactions and information exchanges can be trusted. Ensure minimum business impact in the event of an IT service disruption or change. Make sure that IT services are available as required. Improve IT’ s costefficiency and its contribution to business profitability. Deliver projects on time and on budget, meeting quality standards. Maintain the integrity of information and processing infrastructure.
Maturity level rata-rata
IT.P
M.L
IT.P
M.L
IT.P
M.L
IT.P
M.L
IT.P
M.L
P O8
2.61
AI4
3.29
AI6
3.53
AI7
3.44
DS10
3.16
P O6
2.94
AI7
3.44
DS5
3.34
P O6
2.34
AI6
3.53
DS4
3.23
DS12
3.15
3.06
DS3
3.23
DS4
3.23
DS8
3.52
DS13
3.15
3.28
P O5
2.92
DS6
3.36
3.14
P O8
2.61
P O10
3.16
2.89
AI6
3.53
DS5
3.34
IT.P
M.L
IT.P
M.L
IT.P
M.L
IT.P
M.L
IT.P
M.L
3.21
3.24
3.44
Total Rata‐rata
Keterangan: IT.P : IT Process
3.16
M .L: Maturity Level 124
Tabel diatas menunjukan tingkat Level Maturity pada setiap IT Goals, dimana setiap nilai Maturity Level dapat dilihat pada L87 sampai L94. Tabel 4.13 Maturity Level per Business Goal
Business Goal Improve customer orientation and service. Offer competitive products and services Estabilsh service continuity and availability. Customer Create agility in responding to Perspective changing business requirements. Achieve cost optimisation of service delivery. Obtain reliable and useful information for strategic decision making. Keterangan: IT. G :IT Goal
IT GOALs IT. G M.L
IT. G
M.L
IT. G
M.L
3
3.11
23
3.28
3.20
5
3.07
24
3.14
3.11
10
3.31
16
3.21
22
3.06
1
2.78
5
3.07
25
2.89
7
3.14
8
3.21
10
3.31
24
3.14
3.00 4 3.04 TOTAL RATA-RATA M.L : Maturity Level
12
3.18
20
3.24
2
IT. G
23
M.L
IT. G
M.L
Maturity level rata-rata
3.28
3.22
2.91 3.20
26
3.44
3.18 3.13
Berdasarkan data diatas maka diketahui jika Level Maturity Perusahaan pada Customer Perspective sebesar 3.13. Data ini didapat dari Maturity Level setiap IT Goals pada tabel 4.12 Maturity Process per IT Goals. 125
LAPORAN HAS IL EVALUAS I PENGENDALIAN S IS TEM INFORMAS I PERKREDITAN PADA PT. BANK KES EJAHTERAAN EKONOMI
Kepada
:
PT. BANK KES EJAHTERAAN EKONOMI
Divisi
:
Teknologi Sistem Informasi
Perihal
:
Laporan Hasil Evaluasi Pengendalian S istem Informasi Perkreditan
Periode
:
September 2009 – Januari 2010
Oleh : Andriyanto I Nyoman Sidhi Adiyadnya
Jakarta Januari 2010
I. Tujuan Tujuan Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi adalah sebagai berikut: 1. M engetahui proses bisnis pada sistem informasi perkreditan pada “PT. Bank Kesejahteraan Ekonomi ”. 2. M engevaluasi apakah sistem informasi perkreditan yang berjalan telah sesuai dengan pendekatan CobIT. 3. M emberikan rekomendasi usulan terhadap sistem informasi perkreditan pada “PT. Bank Kesejahteraan Ekonomi“berdasarkan hasil evaluasi sistem informasi. II. Ruang Lingkup Ruang lingkup Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi adalah sebagai berikut: 1. Evaluasi terhadap sistem informasi perkreditan yang diterapkan pada kantor pusat PT.
BANK
KESEJAHTERAAN
EKONOM I
apakah
sesuai
dengan
menggunakan pendekatan CobIT (Control Objectives for Information and Related Technology). Sebagai standar dari evaluasi sistem informasi yang dilakukan pada empat domain yang terdiri dari tiga puluh empat pengendalian tingkat atas berdasarkan Customer Perspective. 2. Evaluasi terhadap sistem informasi perkreditan KPRI. 3. Standar evaluasi dengan linking goal IT pada customer perspective.
III. Metode Penelitian M etode penelitan yang kami gunakan dalam melakukan penelitian ini adalah 1. Studi pustaka yaitu melakukan analisa terhadap
sistem melalui studi pustaka untuk
mendapatkan data secara tertulis dengan mempelajari buku-buku ilmiah dan literatur yang berhubungan dengan judul penelitian. 2. Studi lapangan M elakukan pengamatan secara langsung terhadap perusahaan yang menjadi objek penelitian untuk mendapatkan informasi dan data yang lebih akurat. Dalam studi lapangan ini, digunakan tiga metode yaitu: 1. Observasi, melakukan pengamatan terhadap kegiatan yang terjadi selama proses. 2. Questionaire, yaitu suatu metode pengumpulan data dengan membuat daftar pertanyaan secara tertulis yang ditujukan kepada divisi terkait dalam sistem aplikasi. IV. Hasil Evaluasi Berdasarkan evaluasi yang dilakukan, maka berikut adalah hasil evaluasi pengendalian sistem informasi perkreditan: 1. Domain Plan and Organise Temuan 1 : Perusahaan telah memiliki program untuk mengidentifikasi kekurangan atau kesalahan dalam penginputan data. Sehingga antara proses bisnis dan IT terintegrasi. Perusahaan melakukan evaluasi kinerja terhadap sistem tapi hal ini belum ada peraturan tertulis yang mengatur periode untuk melakukan evaluasi. Perencanaan strategis IT
dibuat berdasarkan dokumentasi rencana IT, sehingga sistem dapat mencapai tujuan bisnis perusahaan. Rekomendasi: Perencanaan IT yang ada pada perusahaan cukup baik, hal ini terlihat pada dokumentasi yang dilakukan setiap melakukan pengembangan. Akan tetapi dalam melakukan evaluasi kinerja sistem, tidak terdapat peraturan tertulis yang mengatur hal tersebut. Sehingga evaluasi tidak dilakukan secara periodik. Oleh karena itu perusahaan terutama divisi TSI (Teknologi Sistem Informasi) membuat peraturan secara tertulis untuk melakukan evaluasi terhadap kinerja sistem. Temuan 2: Perusahaan telah memiliki gambaran model proses bisnis yang digunakan untuk melakukan pengembangan sistem informasi. Akan tetapi perusahaan tidak menggunakan kamus data sebagai dasar aturan dalam pertukaran elemen data. Perusahaan memiliki skema atas pembagian data berdasrkan sensitifitas dan tingkat kepentingan data. Adanya prosedur yang dikelola guna menjamin integritas dan konsistensi data. Rekomendasi : Perusahaan memiliki arsitekture informasi yang jelas, akan tetapi perusahaan tidak mengenal adanya kamus data melainkan problem lock. Sehingga tidak adanya aturan dalam pertukaran elemen data. Oleh karena itu perusahaan harus menetapkan kamus data yang digunakan sebagai aturan untuk pertukaran elemen data. Temuan 3: Perusahaan telah melakukan proses analisa, pemilihan dan penggunaan teknologi guna mendukung proses bisnis perusahaan dan ada kebijakan intern yang mengatur
penggunaan teknologi. Ada perencanaan
infrastruktur, pengawasan perkembangan
teknologi dan bisnis secara berkala. Rekomendasi : Proses yang dilakukan perusahaan untuk penggunaan teknologi dan pengawasan telah ada, serta ada kebijakan intern yang dilakukan perusahaan. Oleh karena itu kebijakan
intern
harus
didukung oleh
kebijakan
ekstern
dalam melakukan
pengembangan sistem. Temuan 4: Adanya krangka kerja IT, Komite strategis IT, dan komite pelaksana IT. Penerapan fungsi IT pada bagian perkreditan. Ada struktur Organisasi IT yang mengatur tentang wewenang dan tanggung jawab anggota IT. Adanya pengawasan terhadap fungsi IT maupun sumberdaya IT untuk mengurangi resiko yang mungkin terjadi. Perusahaan menjalin kerjasama dengan pihak outsource dalam melakukan pengembangan sistem. Rekomendasi: Adanya pemisahaan yang tertulis dalam pengaturan wewenang dan tanggung jawab anggota yang tertuang dalam struktur organisasi IT. Perusahaan menjalin kerjasama dengan pihak outsorce dalam melakukan pengembangan sistem. Hal tersebut harus ditingkatkan dengan menetapkan standard an kebijakan dalam menjalin kerjasama dengan pihak outsource. Temuan 5: Perusahaan tidak melakukan evaluasi terhadap biaya yang digunakan oleh IT. Rekomendasi: Dilakukan evaluasi secara berkala untuk mengetahui efisien dan efektifitas dalam penggunaan biaya dalam IT.
Temuan 6: Adanya kebijakan intern dan pengendalian IT. Ada kerangka kerja sebagai pendekatan terhadap masalah, resiko dan pengendalian IT. Adanya pemahan terhadap tujuan penggunaan IT oleh pengguna maupun manajemen atas. Rekomendasi: Selain kebijakan intern untuk mengatur penggunaan IT, baiknya diterapkan juga kebijakan ekstern untuk meningkatkan kinerja sistem. Serta melakukan evaluasi terhadap kebijakan sesuai dengan perkembangan IT. Temuan 7: Perusahaan melakukan test untuk setiap staff baru tapi tidak adanya batasan minimum dalam penerimaan karyawan. M elakukan evaluasi terhadap kinerja staff secara berkala. Adanya kegiatan training untuk para staff. Adanya pertukaran informasi antara staff. Rekomendasi: Tetapkan aturan secara jelas dalam penerimaan karyawan. Bedakan staf yang melakukan evaluasi terhadap kinerja staf lainnya untuk mendapatkan hasil yang akurat. 2. Domain Acquire and Implement Temuan 1: Perusahaan telah menganalisis resiko yang terkait dengan proses bisnis serta telah membuat rancangan solusi sebagai penyelesaian. Perusahaan tidak membagi wewenang secara detail kepada setiap anggota, sehingga jika terjadi kesalahan penyelesaiannya cukup lama.
Rekomendasi: M enjelaskan secara detail dan menetapkan peraturan yang jelas dalam wewenang setiap staf. Temuan 2: Belum adanya software khusus untuk mengidentifikasi permasalah yang mungkin timbul. Rekomendasi: M embangun sistem untuk mengidentifikasi kemungkinan permasalahan yang timbul. Temuan 3: Ada pelatihan terhadap para pengguna sistem, serta ada modul untuk membantu user dalam menggunakan sistem. Tidak dilakukannya evaluasi terhadap pengetahuan pengguna terhadap IT. Rekomendasi: Lakukan evaluasi secara berkala terhadap para pengguna sebagai dasar dari hasil kegiatan training. Temuan 4: Adanya prosedur pengendalian tentang pengembangan sistem. Ada kebijakan mengenai kesepakatan kontrak dengan konsultan. Dilakukan pemilihan supplier yang sesuai dengan kebutuhan. Adanya perlindungan terhadap kontrak yang telah disepakati. Rekomendasi: Lakukan evaluasi dari setiap pengendalian dan kebijakan yang mengatur dengan pihak luar.
Temuan 5: Terdapat prosedur yang disusun untuk menangani perubahan aplikasi dan ada penilaian secara terstruktur terhadap setiap perubahan. Adanya proses untuk menentukan, menguji, mendokumentasikan, menilai dan menyetujui perubahan yang mengacu pada solusi dari langkah vendor. Adanya laporan tentan diterima atau ditolaknya perubahan sistem. Rekomendasi: Setiap dilakukan perubahan terhadap sistem, baiknya dilakukan evaluasi terhadap perubahan tersebut secara berkelanjutan. 3. Domain Deliver and Support Temuan 1: Tidak adanya antisipasi dini jika terjadi kesalahan input data perkreditan, sehingga data tersebut langsung masuk ke dalam database. Tidak adanya rate yang membatasi pengisian NPWP pada aplikasi rating koperasi. Rekomendasi: Pada sistem diberikan peringatan setiap melakukan input data maupun perbaikan data. M emberikan rate pada bagian NPWP sesuai dengan peraturan yang ada. Temuan 2: Tidak adanya rencana kinerja dan kapasitas sistem pada perusahaan. Belum memadainya sistem yang ada karena kebijakan investasi. Rekomendasi: Tentukan rencana kinerja dan kapasitas sistem sebelum ditemukannya Bugs pada sistem. Bicarakan kebijakan kepada pihak direksi dan direktur.
Temuan 3: Pengamanan yang dilakukan perusahaan untuk melindungi sistem dari gangguan pihak ekstern perusahaan cukup baik yaitu penggunaan antivirus Symantex dan PC-M av, serta ada sistem login yang telah ditentukan oleh admin pada sistem rating dan pembatasan orang yang menggunakan bank Checking. Rekomendasi: Untuk penggunaan antivirus yang ada, baiknya mengikuti perkembangan antivirus, setidaknya dilakukan update setiap saat dan menggunakan firewall yang yang telah baik bukan hanya standar dari aplikasi OS. Temuan 4: Perusahaan tidak melakukan peninjauan kelayakan terhadap biaya pada IT secara berkala. Rekomendasi: Lakukan peninjauan secara berkala, bila perlu lakukan pengecekkan setiap dilakukannya pembelian IT baru. Temuan 5: Tidak adanya fasilitas pelacakan masalah maupun pendekatan masalah, sehingga tidak adanya integrasi dengan proses penyelesaian masalah. Rekomendasi: Bangun program khusus untuk melacak masalah yang mungkin timbul pada aplikasi sistem, sehingga kegiatan bisnis perusahaan tidak terganggu dan tidak merugikan perusahaan.
4. Monitor and Evaluate Temuan 1: Adanya pengawasan, pengukuran dan tinjauan kualitas untuk melakukan tindakan perbaikan. Rekomendasi: Lakukan evaluasi terhadap tinjauan kualitas untuk melakukan tindakan perbaikan. Temuan 2: Perusahaan telah menyusun kerangka IT. Para manajemen mengerti tentang permasalahan IT. Sumberdaya IT mendukung peningkatan penggunaan IT. Perusahaan melakukan evaluasi secara berkala. Rekomendasi: Hal tersebut cukup baik,tapi masih kurang jika tidak dilakukan pengembangan sistem mengikuti perkembangan teknologi saat ini. V. S impulan Berdasarkan hasil evaluasi yang dilakukan, maka: 1. Kondisi Pengendalian Sistem Informasi pada PT. Bank Kesejahteraan Ekonomi berdasarkan Linking Business Goal “Customer Perspective”, maka perusahaan berada pada level 3.13 (lihat tabel 4.13). 2. Kondisi Pengendalian Sistem Informasi pada PT. Bank Kesejahteraan Ekonomi berdasarkan IT Process, maka perusahaan berada pada level 3.16 (lihat tabel 4.11). 3. Untuk mengetahui Maturity Level pada IT Goals dapat dilihat pada tabel 4.12.
Demikian hasil Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi berdasarkan COBIT 4.1 dengan Linking Business Goal “Customer Perspective”.
Jakarata, Januari 2010
Tim Evaluasi