BAB 4 EVALUAS I PENGENDALIAN S IS TEM INFORMAS I VAN SALES PADA PT TIRTA INVES TAMA 4.1 Rencana Kerja Tanggal 14-09-09
Aktivitas
Data yang diperoleh
perusahaan M endapatkan
M encari
yang akan digunakan Perusahaan
untuk
melakukan melakukan
penelitian
untuk
Metode
Person
Observasi
-
Observasi
Bobby
dan dan evaluasi.
penelitian evaluasi. 14-09-09
surat M endapatkan
M emberikan permohonan
survey persetujuan survey pada dan
dan proposal skripsi PT. Tirta Investama. kepada
PT.
Alzein
wawancara
Tirta
Ivestama. 16-09-09
M elakukan
meeting M endapatkan penjelasan Observasi
untuk
menjelaskan tentang
lebih
detail tentang Investama.
proposal skripsi. 08-10-09
M engamati meminta perusahaan.
PT.
Tirta dan
(Terutama wawancara
profile profile Investama,
PT.
company Observasi Tirta dan gambar wawancara
struktur organisasi PT.
237
Alzein
dan
Ricky Komansilan
proses bisnis). dan M emperoleh
Bobby
Bobby Alzein
dan
Ricky Komansilan
238 Tirta Investama, beserta struktur organisasi IT Business uraian
Solution, tugas
dan
tanggung jawab, gambar dan uraian proses bisnis van sales (SOP). 18-11-09
M engamati
dan M endapatkan spesifikasi Observasi software, dan
gambaran hardware,
mengecek
sistem user,
arsitektur
informasi perusahaan.
database,
digunakan
PT.
Investama.
Ricky Komansilan
yang wawancara
dan
Doddy
Tirta
Triyanto
Dan
mendapatkan
tutorial
tentang sistem van sales berupa
Microsoft
powerpoint. 10-12-09
daftar M endapatkan
M embuat pertanyaan wawancara checklist diajukan Business M anager.
berupa berupa
data
kepada IT Investama. Solution
dan wawancara tentang dan
dan informasi untuk kondisi
jawaban Observasi,
PT.
Tirta kuesioner
Ricky Komansilan
239 15-12-09
M enentukan
M elakukan
analisa level,
perhitungan,
maturity Evaluasi
analisa
dan
dari
hasil
dan
evaluas i evaluasi
berdasarkan
jawaban kuesioner.
-
(COBIT)
dari pertanyaan yang telah diberikan 18-12-09
M embuat rekomendasi M embuat dan
suatu Evaluasi
-
mengusulkan rekomendasi untuk PT. (COBIT)
perbaikan
apabila Tirta
Investama
agar
terdapat temuan yang berguna untuk perbaikan tidak sesuai. 10-01-10
M embuat evaluasi.
pada sistem informasi. laporan Hasil evaluasi beserta Evaluasi temuan
-
dan (COBIT)
rekomendasi. 4.2 Pelaksanaan Evaluasi 4.2.1
Hasil Observasi Berdasarkan observasi yang kami lakukan kami mengetahui hal-hal sebagai berikut: a. Ada 4 buah komputer yang digunakan untuk aplikasi SAP van sales. b.
Sistem SAP van sales menghasilkan laporan tercetak.
c. Terdapat UPS dan antivirus dalam setiap komputer. d. Tidak adanya kamera untuk mengawasi kegiatan karyawan.
240 e. Terdapat genset sebagai cadangan listrik, jadi saat listrik mati semua sistem dapat berfungsi seperti biasa. f. Tampilan sistem yang user friendly. g. Adanya backup data dalam sistem SAP van sales setiap hari dan adanya pengelolaan user account untuk dapat mengakses sistem SAP van sales dalam active directory. 4.2.2
Hasil Wawancara 1. Apakah perusahaan mempunyai perencanaan TI? Ada dokumentasinya atau tidak? Dimana dokumentasinya disimpan? Tahun berapa perencanaan TI dibuat? 2. Bagaimana pengaruh TI dalam mendukung investasi TI dan proses bisnis yang menggunakan TI? Apakah terdapat rencana strategis TI yang menentukan dalam kerjasama dengan semua pihak terkait? 3. Apakah perusahaan membuat portofolio rencana TI yang berasal dari rencana strategis TI, yang menggambarkan rincian sumber daya, penggunaan SD dan perolehan keuntungan dari investasi TI? 4. M odel arsitektur informasi apa saja yang dimiliki perusahaan? Apakah sesuai dengan rencana/portofolio TI? 5. Apakah ada pengelompokkan data perusahaan yang dapat memudahkan pengolahan data diantara aplikasi dan sistem dan pengguna sistem? 6. Apakah terdapat control akses terhadap kepemilikan data?
241 7. Apakah perusahaan melakukan analisa teknologi yang sudah ada dan teknologi yang akan muncul? Apakah
terdapat
perencanaan
arah
teknologi
dalam
mengimplementasikan TI pada proses bisnis? 8. Apakah ada struktur organisasi internal/ eksternal? Adakah suatu proses secara berkala untuk meninjau struktur organisasi TI untuk menyesuaikan persyaratan pemilihan staff yang dapat memenuhi tujuan bisnis dan keadaan yang berubah- ubah? 9. Ada jaminan kualitas TI tidak? Bagaimana tanggung jawab/ respon atas resiko TI dalam proses bisnis? Bagaimana keamanan informasi dalam sistem dan keamanan fisik sistem? Apakah ada prosedur untuk kepemilikan sistem data dan informasi? 10. Adakah pelatihan dan pendidikan terhadap karyawan mengenai sistem SAP? Adakah persyaratan dalam perekrutan karyawan yang menggunakan sistem sehingga mencapai sasaran perusahaan? 11. Tindakan berguna apa yang dilakukan berkenaan dengan perubahan kerja khususnya pemberhentian kerja? Apakah ada pencabutan hak akses terhadap sistem? 12. Apakah perusahaan memiliki service level agreement (SLA) yang mengawasi, mengukur dan meningkatkan keefektifan kualitas yang dihasilkan?
242 Ada metode pendeteksian, pencegahan dan perbaikan terhadap sistem atau tidak? 13. Apakah terdapat standar pengembangan dan akuisisi? M isalnya : standar pengkodean piranti lunak, standar untuk pengembangan dan pengujian, standar interface pengguna, format data/arsip, rancangan kamus data 14. Apakah terdapat penetapan proses perencanaan untuk meninjau performansi dan kapasitas sumber daya TI agar sesuai dengan biaya yang direncanakan untuk menjalankan proses kerja bengkel yang telah disepakati? Bagaimana proses perencanaan tersebut? 15. Apakah manajemen memastikan dan mengatasi ketersediaan kapasitas dan performansi sumber daya TI yang tidak memadai serta turut memperhitungkan aspek lainnya eperti jumlah kerja normal, persyaratan dan penyimpanan dan siklus hidup sumber daya TI? 16. Apakah manajemen memberikan pelatihan rutin kepada semua user mengenai prosedur, peran dan tanggung jawabnya dalam beberapa kasus insiden? Bagaimana proses pelatihan tersebut? Siapakah yang memberikan pelatihan tersebut? 17. Apakah manajemen mengatur keamanan TI pada tingkat organisasi tertinggi, sehingga security officer sejajar dengan persyaratan bisnis? 18. Bagaimana prosedur implementasi pengaturan keamanan TI? 19. Apakah terdapat perundingan dalam manajemen untuk menentukan serta mendeskripsikan secara jelas karakteristik potensi terjadinya insiden
243 keamanan sehingga manajemen bisa diklasifikasikan dan diperlakukan dengan tepat oleh proses manajemen insiden dan masalah? Bagaimana tindakan penanganan terhadap masalah tersebut? 20. Apakah manajemen menempatkan upaya-upaya preventif, detektif dan korektif (khususnya patching keamanan dan control virus terbaru) untuk melindungi sistem dan teknologi informasi dari bahaya kerusakan ( contohnya virus, worm, spyware, spam)? 4.2.3 Hasil Kuesioner
4.2.3.1 Hasil Perhitungan Domain Plan & organize 1. PO1 Define a Strategic IT Plan untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
2
3
4
agar setiap
9
data yang
input
dapat
diketahui segera? 2.
Apakah memiliki
perusahaan rencana
strategis terkait dengan pihak lain yang saling timbal balik?
5 SAP memiliki control
perusahaan
memiliki sistem warning
salah
1
Keterangan
9
terhadap transaksi yang ada
244 3.
Apakah
perusahaan
memiliki
9
Ada,dalam bagian
sistem
ada error yang terjadi
menangani
pada sistem van sales?
ataupun error pada sistem van
Apakah
9
perusahaan rencana
kedepan terkait dengan sistem (vans sales) yang ada sekarang ? Apakah
perusahaan
9
memiliki rencana taktis dalam
memungkinkan
investasi
program,
TI
servis dan TI asset yang membantu dalam proses bisnis (van sales)? 6.
(System
Investigation Request) untuk
memiliki
5.
SIR
terdapat
pemecahan masalah bila
sales. 4.
aqua
Apakah sistem yang ada sudah
memudahkan
perusahaan
terkait
dengan
bisnis
proses
dalam pencapaian tujuan
9
jika
ada
bug
245 sistem
perusahaan
dibuat? •
Rata-rata PO1 = 3.833, berada pada maturity level 3, Defined Suatu kebijakan menentukan kapan dan bagaimana melaksanakan perencanaan
strategis TI. Perencanaan strategis TI dilakukan setelah pendekatan struktur yang didokumentasikan dan diketahui semua staf. Proses perencanaan TI tersebut baik dan meyakinkan bahwa perencanaan yang tepat akan dilaksanakan. Namun, pembedaan diberikan kepada manajer individual mengenai implementasi prosesnya, dan tidak ada prosedur untuk memeriksa proses tersebut. Keseluruhan strategi TI termasuk definisi resiko konsisten bahwa organisasi bersedia berlaku sebagai penemu atau pengikut. Strategi financial, teknis dan sumber daya manusia TI menambah pengaruh akusisi produk dan teknologi baru. Perencanaan strategis TI dibahas dalam rapat manajemen bisnis Tabel 4.1 : kuesioner PO1 Define a Strategic IT Plan PO2 Define the Information Architecture untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
membuat dan menjaga model perusahaan mungkin (seperti
informasi yang digunakan menggunakan
1
2 3
4 9
Keterangan 5
246 check
list
ketika
menerima barang dalam transaksi barang)
penerimaan untuk
pengembangan teknologi secara konsisten dengan rencana TI yang ada? 2.
Apakah
perusahaan
9
Kamus data tidak ada, tip, dokumentasi SAP lengkap
menjaga data perusahaan dengan memiliki kamus data dan peraturan yang dapat
memudahkan
adanya
kemudahan
dalam mengakses sistem van
sales?(dokumentasi
sistem,dll) 3.
Apakah
perusahaan
9
Perusahaan menetapkan roles
membagi data – datanya
berupa SOD (segregation of
berdasarkan sensitive dan
duty) untuk pembatasan akses
tingkat kepentingan data?
manajemen.
(misalnya dengan adanya pembatasan hak akses antara staf dan high level)
247
4.
Apakah
perusahaan
menerapkan
9
prosedur
untuk
menjamin
integritas dan konsistensi semua
data
elektroniknya?( melakukan
seperti
pengecekan
ulang pada penyimpanan data ke server) •
Rata-rata PO2 = 3, berada pada maturity level 3, Defined Pentingnya arsitektur informasi dipahami dan diterima, dan tanggungjawab akan
penyalurannya ditugaskan dan dibicarakan dengan jelas. Prosedur, alat dan teknik terkait, meski tidak modern, telah distandarisasi dan didokumentasikan dan merupakan bagian dari aktivitas pelatihan informal. Kebijakan aritektur informasi dasar telah dikembangkan, termasuk beberapa persyaratan startegis, tapi kepatuhan terhadap kebijakan, standard an alat tidak dipertegas dengan konsisten. Fungsi administrasi data yang telah ditentukan secara formal tersedia, menetapkan standar diseluruh organisasi, dan mulai melaporkan penyaluran dan penggunaan arsitektur informasi. Alat otomatis mulai diberdayakan, tapi proses dan peraturan yang digunakan ditentukan melalui penawaran vendor piranti lunak basis data. Rencana pelatihan terformalisasi masih didasarkan atas inisiatif individual. Tabel 4.2: kuesioner PO2 Define the Information Architecture
248
PO3 Determine Technological Direction untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
1
2 3
4
Keterangan 5
9
menganalisa keadaan dan kemunculan
teknologi
untuk diterapkan kedepan dalam sistem van sales? 2.
Apakah
perusahaan
menciptakan
9
M etro data untuk pengelolaan
dan
memelihara
sarana prasarana.
rencana
prasarana teknologi yang sesuai dengan strategis dan
taktis
TI
dalam
kaitannya dengan sistem van sales? 3.
Apakah
perusahaan
mengamati sistem van sales untuk mengamati sektor
bisnis,
teknologi, hukum,
industri, prasarana, peraturan
Aqua bekerja sama dengan
9
249 lingkungan? 4.
Apakah
9
perusahaan
memberikan pemecahan teknologi yang konsisten dan
aman?
(
seperti
dalam proses membuat laporan) 5.
Apakah
perusahaan
membangun untuk
9
bagian menyediakan
pedoman arsitektur dan nasehat
pada
lamaran
mereka
(
bagian
arsitektur
TI)
untuk
mengecek apakah mereka sesuai
dengan
kemampuannya? Rata-rata PO3 = 2,4 , berada pada level maturity level 2, Repeatable but Intuitive Perlunya dan pentingnya perencanaan teknologi dibicarakan. Perencanaan tersebut bersifat taktir dan lebih berfokus pada membuat solusi terhadap masalah teknis daripada penggunaan teknologi untuk memenuhi kebutuhan bisnis. Evaluasi perubahan teknologis diserahkan pada individu yang berbeda-beda yang mengikuti proses yang intuitif, tapi serupa. Orang-orang mendapatkan keterampilan perencanaan teknologi mereka melalui
250 pembelajaran langsung dan aplikasi teknik yang berulang-ulang. Teknik dan stadnar umum bermunculan untuk pengembangan komponen insfrastruktur. Tabel 4.3: kuesioner PO3 Determine Technological Direction PO4 Define the IT Processes, O rganisation and Relationships untuk maturity level 05 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
memiliki
framework
proses
TI
1
2 3
9
yang
digunakan
untuk
melaksanakan
rencana
strategis TI dalam proses melakukan pembayaran? 2.
Apakah memiliki
perusahaan komite
dalam
9
TI
susunan
perusahaan? 3.
Apakah
perusahaan
memiliki prioritas dalam menginvestasikan program
TI
yang
berkaitan dengan bisnis
4
9
Keterangan 5
251 strategi dan prioritasnya dalam hal ini sistem van sales? 4.
Apakah
9
perusahaan
memiliki bagian dalam struktur ke-organisasian dalam perusahaan? 5.
Apakah
perusahaan
9
Hanya internal
mendirikan keorganisasian dan
internal
eksternal
menunjukan
yang
keperluan
dalam sistem van sales? 6.
Apakah membuat
perusahaan tugas
tanggung jawab
9
dan untuk
pengguna TI? Dalam hal ini staf bagian sistem van sales? 7.
Apakah perusahaan telah menjamin penempatan
bahwa organisasi
serta tanggung jawab dan
9
252 mengukur sampai sejauh mana kepuasan jaminan mutu yang merupakan kebutuhan organisasi? 8.
Apakah
perusahaan
9
memiliki tanggung jawab untuk resiko TI yang terkait dengan sistem van sales
dalam
level
manajer tingkat atas? 9.
Apakah
perusahaan
9
menyediakan prosedur,alat
dan
memungkinkannya untuk menanggapi
tanggung
jawabnya
dalam
kepemilikan informasi
data
dan
sistem
van
sales? 10.
Apakah melaksanakan pengawasan
perusahaan pelatihan yang
memadai dalam fungsi TI
9
253 untuk menjamin bahwa tugas
dan
jawabnya
tanggung telah
dijalankan dengan baik? Karyawan dimaksud
yang adalah
karyawan bagian sistem van sales. 11.
Apakah
perusahaan
melakukan
pembagian
tugas
dan
9
tanggung
jawab untuk mengurangi kemungkinan
seorang
karyawan bagian sistem van
sales
melakukan
kecurangan? 12.
Apakah
perusahaan
9
mengevaluasi kebutuhan karyawan
pada
pengantian besar dalam perusahaan? 13.
Apakah
perusahaan
mengidentifikasikan dan
9
254 mendefinisikan personal inti TI dan memperkecil ketergantungan pada satu individu? Dalam hal ini terkait dengan sistem van sales. 14.
Apakah
perusahaan
menjamin
9
bahwa
konsultan dan karyawan kontrak
yang
berhubungan dengan TI bagian system van sales mengerti benar peraturan dalam perusahaan? 15.
Apakah
perusahaan
9
membuat dan menjaga koordinasi yang optimal, komunikasi hubungan
dan yang
baik
diantara fungsi – fungsi TI terkait dengan sistem van sales? •
Rata-rata PO4 = 3.93, berada pada maturity level 3, Defined
255 Terdapat peran dan tanggung jawab yang telah ditentukan untuk organisasi TI dan pihak ketiga. Organisasi TI dikembangkan, didokumentasikan, dibicarakan dan disejajarkan dengan strategi TI. Lingkungan control internalnya telah ditentukan. Ada formalisasi hubungan dengan pihak lain, termasuk panitia kerja, audit internal dan manajemen vendor. Organisasi TI lengkap secara fungsional. Terdapat definisi fungsi yang akan dilakukan oleh personel TI dan yang akan dilakukan oleh pengguna. Persyaratan pemilihan staf TI dan keahlian yang esensialnya telah ditentukan dan terpenuhi. Terdapat definisi formal hubungan dengan pengguna dan pihak ke tiga. Pembagian peran dan tanggun jawabnya telah ditentukan dan diimplementasikan. Tabel 4.4: kuesioner PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah menetapkan
dan
memelihara
kerangka
1
2 3
4
Keterangan 5 9
kerja keuangan? 2.
Apakah
perusahaan
melaksanakan untuk
proses membuat
keputusan
dengan
memprioritaskan alokasi sumber daya TI?
9
256 3.
Apakah mendirikan
dan
melaksanakan untuk
9
perusahaan
praktek
mempersiapkan
anggaran TI? 4.
Apakah
perusahaan
9
melaksanakan perbandingan
biaya
proses pengelolaan antara biaya
sesunguhnya
dengan
anggaran
(manajemen biaya)? 5.
Apakah perusahaan telah melaksanakan untuk
9
proses mengawasi
keuntungan
dari
menyediakan
dan
memelihara kemampuan TI yang tepat? •
Rata-rata PO5 = 3,6, berada pada level maturity level 3, Optimised Praktek industri yang baik digunakan untuk biaya patokan dan mengidentifikasi
pendekatan untuk meningkatkan efektivitas investasi. Analisis perkembangan teknologi yang digunakan dalam seleksi investasi dan proses penganggaran. Proses manajemen
257 investasi terus ditingkatkan berdasarkan pelajaran yang diperoleh dari analisis kinerja investasi yang sebenarnya. M emasukkan keputusan investasi harga / kinerja tren perbaikan. Pendanaan alternatif yang secara resmi diselidiki dan dievaluasi dalam konteks organisasi struktur modal yang ada, menggunakan metode evaluasi formal. Ada identifikasi proaktif varians. Ananalisis biaya jangka panjang dan keuntungan dari total siklus hidup yang tergabung dalam keputusan investasi. Tabel 4.5: kuesioner PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
1
2 3
4
mengimplementasi control
lingkungan sejalan
TI
dengan
manajemen
yang filsafat
perusahaan
dalam sistem van sales? 2.
Apa
perusahaan
mengembangkan menjaga dengan
dan
framework mendefinisikan
apa yang ingin dicapai
5 9
perusahaan
elemen
Keterangan
9
258 oleh perusahaan dalam hal ini yang dimaksudkan adalah sistem van sales? 3.
Apakah perusahaan telah membuat
kebijakan
kebijakan
9
–
untuk
mendukung tujuan utama perusahaan terkait dalam sistem van sales? 4.
Apakah
perusahaan
memiliki
kebijakan
9
pergantian dan penerapan TI kepada semua staf yang ada terkait dalam prosedur sistem van sales dalam perusahaan? 5.
Apakah
perusahaan
memberitahukan peringatan pengertian
dan bisnis
dan
tujuan TI dan pimpinan untuk
menyediakan
arahan bagi pihak yang
9
259 berkepentingan pemakai
dan diseluruh
perusahaan dalam hal ini bagian sistem van sales? •
Rata-rata PO6 = 3.8, berada pada maturity level 3, Defined Kontrol informasi penuh dan lingkungan manajemen kualitas dikembangkan,
didokumentasikan dan dibicarakan oleh manajemen dan termasuk kerangka kerja untuk kebijakan, rencana dan prosedur. Proses pengembangan kebijakannya terstruktur, dipertahankan dan diketahui oleh semua staf dan kebijakan, rencana prosedur yang ada baik dan meliputi masalah kunci. M anajemen mengatasi pentingnya kesadaran keamanan TI dan mengawali program kesadaran. Pelatihan formal tersedia untuk mendukung lingkungan control informasi tapi tidak diterapkan dengan tegas. Sementara terdapat keseluruhan kerangka kerja pengembangan untuk kebijakan dan prosedur kontrol, terdapat pengawasan kepatuhan yang tidak konsisten dengan kebijakan dan prosedur ini. Terdapat keseluruhan kerangka kerja pengembangan. Teknik untuk mendorong kesadaran keamanan telah distandarisasi dan diformalisasi. Tabel 4.6: kuesioner PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah memelihara
perusahaan proses
perekrutan karyawan TI
1
2 3
4
Keterangan 5 9
260 dengan
kebijakan
karyawan
secara
menyeluruh
dan
prosedurnya? 2.
Apakah
perusahaan
menetapkan
kebutuhan
kompetensi
TI
9
yang
utama dan mengoreksi kebutuhan TI yang ada, menggunakan kualifikasi dan sertifikasi program yang layak? 3.
Adakah
perusahaan
membuat,
mengawasi
dan
mengelola
penugasan,
tanggung
jawab dan
kompetensi
dari kerangka kerja untuk karyawan,
termasuk
persyaratan kebijakan
pada pengelolaan
dan prosedur, kode etik, dan
pelaksanaan
yang
9
261 profesional? 4.
Apakah perusahaan telah
9
mengembangkan karyawan
TI
orientasi dengan
dengan yang
sesuai? 5.
Apakah
9
perusahaan
memiliki
tingkat
kepercayaan
kepada
karyawan? 6.
Apakah perusahaan telah
9
melakukan pemeriksaan terhadap latar belakang setiap karyawan? 7.
Apakah
perusahaan
mempunyai
suatu
prosedur
untuk
9
perubahan jabatan dan pemberhentian karyawan? •
Rata-rata PO7 = 4.42, berada pada level maturity level 4, Managed and
Measurable Tanggung jawab akan pegembangan dan pemeliharaan rencana manajemen sumber
262 daya manusia TI ditugaskan kepada individu atau kelompok spesifik dengan keahlian dan keterampilan wajib yang diperlukan untuk mengembangkan dan mempertahankan rencana. Proses mengembangkan dan mengatur rencana manajemen sumber daya manusia TI bersifat responsive terhadap perubahan. Terdapat upaya standar di organisasi agar mudah mengidentifikasi penyimpangan dari rencana manajemen sunber daya manusia TI, dengan penekanan spesifik pada mengatur pertumbuhan dan pergantian personel TI. Tinjauan kompensasi dan perfomansi ditetapkan dan dibandingkan dengan organisasi TI dan praktek baik indsutri lainnya. M anajemen sumber daya manusia TInya proaktif, memperhitungkan pengembangan jalur karir. Tabel 4.7: kuesioner PO7 Manage IT Human Resources PO10 Manage Projects untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah memelihara
1
2 3
4
Keterangan 5 9
program
kerangka
kerja
manajemen? 2.
Apakah
perusahaan
membuat memelihara
dan rencana
kerangka manajemen proyek?
kerja
9
263 3.
Apakah
perusahaaan
telah
menetapkan
pendekatan
manajemen
9
proyek? 4.
Apakah
stakeholder
9
perusahaan bertanggung jawab dan berpartisipasi dalam penetapan semua proyek investasi TI? 5.
Apakah perusahaan telah
9
menetapkan cakupan atau scope dari proyek? 6.
Apakah
perusahaan
9
menggunakan permulaan pada
tahapan
proyek
pada setiap proyeknya? 7.
Apakah menetapkan proyek diintegrasikan
perusahaan
9
rencana yang untuk
pelaksanaan proyek? 8.
Apakah perusahaan telah menetapkan /menegaskan
9
264 tanggungjawab, hubungan,
wewenang,
dan kriteria kinerja dari kinerja
anggota
tim
usaha
dari
proyek? 9.
Adakah perusahaan
9
untuk
memperkecil resiko dari manajemen proyek? 10.
9
Apakah perusahaan memiliki perencanaan terhadap kualitas proyek?
11.
Apakah perusahaan telah memiliki
pengendalian
terhadap
perubahan
9
proyek? 12.
Apakah perusahaan telah menetapkan
9
metode
jaminan dari perencanaan proyek? 13.
Apakah perusahaan telah memiliki kinerja,
ukuran
dari
laporan,
dan
9
265 pengawasan? 14.
Apakah
perusahaan
melakukan
penutupan
proyek
dari
9
setiap
proyeknya? •
Rata-rata PO10 = 4.3, berada pada level maturity level 4, Managed and
Measurable M emerlukan manajemen formal dan standar metrik proyek dan pelajaran belajar ditinjau penyelesaian proyek berikut. M anajemen proyek diukur dan dievaluasi di seluruh organisasi dan bukan hanya dalam TI. Perangkat tambahan untuk proses manajemen proyek yang diformalkan dan dikomunikasikan dengan anggota tim proyek yang dilatih pada perangkat tambahan. IT manajemen telah menerapkan struktur organisasi proyek dengan mendokumentasikan peran, tanggung jawab dan kriteria kinerja staf. Kriteria untuk mengevaluasi keberhasilan pada setiap tonggak sejarah telah dibentuk. Nilai dan risiko diukur dan dikelola sebelum, selama dan setelah penyelesaian proyek. Proyek semakin alamat tujuan organisasi. daripada hanya TI yang spesifik. Ada proyek aktif kuat dan dukungan dari sponsor manajemen senior serta pemangku kepentingan. Pelatihan manajemen proyek yang relevan direncanakan untuk staf manajemen proyek kantor dan di seberang fungsi TI. Tabel 4.8: kuesioner PO10 Manage Projects
266
4.2.3.2 Hasil Perhitungan Domain Acquire & Implement. Al 1 indentify Automated Solutions untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
1
2 3
9
Apakah ada peningkatan prioritas dan persetujuan untuk fungsi bisnis dalam sistem van sales yang ada dalam
perusahaan?
M encapai
hasil
yang
diharapkan dari program investasi IT. 2.
Apakah
ada
analisa
dokumen dan resiko yang disesuaikan
dengan
kebutuhan dalam sistem van
sales,
rancangan
serta
pemecahan
masalah sebagai bagian dari proses perusahaan sebgai pengembangan?
langkah
4
9
Keterangan 5
267 3.
Apakah
ada
tindakan
alternative rekomendasi
9
dan kepada
sponsor perusahaan? 4.
Apakah perusahaan telah
9
mengembangkan sebuah rencana
untuk
mengidentifikasikan dan dokumentasi
semua
aspek pemakai, teknis, dan operasional? •
Rata-rata AI1 = 2.25, berada pada maturity level 2, Repeatable but Intuitive Organisasi melakukan beberapa pendekatan intuitif untuk mengidentifikasi solusi
TI yang ada pada bisnis itu. Solusi diidentifikasi secara tidak resmi dan didasarkan pada pengalaman internal dan pengetahuan fungsi TI. Keberhasilan setiap proyek tergantung dari pengalaman sejumlah individu TI yang utama. Kualitas dokumen dan proses pengambilan kebutuhan sangar bervariasi. Penggunaan pendekatan yang tidak terstruktur untuk mendefinisikan kebutuhan dan identifikasi solusi teknologi. Tabel 4.9: kuesioner Al 1 indentify Automated Solutions
268 AI2 Acquire and maintain application software untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
kebutuhan
perusahaan
1
2 3
4
Keterangan 5
9
ya. Karena semua software
telah
dipenuhi
yang digunakan
dalam
berdasarkan
rancangan secara detail
Apakah untuk
ada persiapan teknik
9
software
aplikasi? 3.
Apakah
penerapan
9
pengendalian pada sistem van sales telah sesuai dengan
pengendalian
otomatisasi
aplikasi?
Seperti
proses
yang
akurat,
lengkap,
tepat
waktu,
disahkan
dan
dapat diperiksa. 4.
Apakah jawaban untuk identifikasi resiko telah
aqua
kebijakan
dari
DANONE, Paris
untuk software? 2.
oleh
9
269 tersedia? Sesuai dengan klasifikasi
data
perusahaan dan toleransi resiko? 5.
9
Apakah perusahaan telah melakukan dan
konfigurasi implementasi
software yang akuisisi untuk memenuhi sasaran bisnis? 6.
Apakah
perusahaan
melakukan
9
upgrade
desain atau fungsional yang dipakai saat ini? 7.
Apakah
perusahaan
9
melakukan pengembangan
aplikasi
software? 8.
Apakah perusahaan telah mengembangkan melaksanakan
dan rencana
quality assurance untuk memenuhi kebutuhan dan
9
270 kebijakan dan prosedur kualitas organisasi? 9.
9
Apakah perusahaan telah membuat
manajemen
kebutuhan aplikasi?
10.
Apakah perusahaan telah
9
Upgrade to newest version of SAP ( ECC 6)
mengembangkan strategi dan perencanaan untuk aplikasi software? •
Rata-rata AI2 = 4.3 , berada pada level maturity level 4, Managed and
Measurable Terdapat suatu metodologi yang formal, dan mudah dimengerti, termasuk proses peracangan dan spesifikasi, criteria untuk pengadaan aplikasi perangkat lunak, serta proses
pengujian
dan
persyaratan
dokumentasi.
Terdapat
mekanisme
yang
didokumentasikan dan disetujui untuk memastikan bahwa semua tahap diikuti dan pengecualian disetujui. Praktek dan prosedur yang berkembang dan sesuai dengan organisasi, digunakan oleh seluruh staf, dan dapat diterima dalam sebagian besar kebutuhan aplikasi. Tabel 4.10: kuesioner AI2 Acquire and maintain application software
271 AI3 Acquire and Maintain Technology Infrastructu re untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
1
2 3
4
untuk implementasi dan
infrastuktur yang
dari teknologi
dibangun
sesuai
kebutuhan dalam sistem van sales? 2.
Apakah telah diterapkan pengendalian
internal,
pemeliharaan
hardware
dan
9
infrastruktur
software? Ada tanggung jawab
untuk
menggunakan komponen infrastruktur / hak akses dan
pengawasan
bagi
user? 3.
Apakah
perusahaan
memiliki planning untuk
5 9
Apakah tersedia rencana
pemeliharaan
Keterangan
9
272 maintenance infrastuktur dan
menjamin
perubahan
bahwa
dikendalikan
sesuai dengan prosedur manajemen perusahaan? M encakup
peninjauan
kembali kebutuhan dalam sistem van sales secara berkala, upgrade strategi, resiko dan langkah – langkah untuk keamanan. 4.
Apakah
uji
perkembangan
dan
9
uji
integrasi dari komponen hardware dan software untuk
mendukung
keefektifan
dan
keefisienan
telah
dibangun?
Adanya
pengecekan
dan
pengetesan pada sistem van sales yang ada. •
Rata-rata AI3 = 4.25, berada pada level maturity level 4, Managed and
273 Measurable Proses akuisisi dan implementasi untuk infrastruktur teknologi dengan telah dikembangkan dan berjalan dengan baik. Serta dilaksanakan dengan konsisten dan difokuskan pada reusability (penggunaan yang berulang). Infrastruktur TI mendukung aplikasi bisnis proaktif. Biaya dan waktu penyelesaian proses untuk mencapai tingkat skalabilitas, fleksibilitas, dan integrasi optimal secara parsial. Tabel 4.11: kuesioner AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
ada
1
2 3
4
mendokumentasikan teknik
operasional? semua
dan Seperti
yang
akan
menjalankan, menggunakan memelihara
dan pemecahan
masalah yang terotomasi tersebut. 2.
Apakah perusahaan
manajemen memiliki
5 9
rencana
untuk
semua
Keterangan
9
274 pengetahuan
untuk
memperbolehkan individu
mengambil
kepemilikan/ hak akses dari sistem dan data dan administrasi aplikasi? 3.
Apakah
ada
9
training
kepada pemakai untuk keefektifan
dan
keefisienan menggunakan
sistem
dalam mendukung sistem van sales? 4.
Apakah ada training pada staf
pendukung
efektif
dan
dalam
untuk efisiean
penyampaian,
mendukung
9
Tiap
karyawan
pelatihan /tahun
diberikan
minimal yang
16
jam
berhubungan
dengan IT / van sales
dan
memelihara sistem dan hardware? •
Rata-rata AI4 = 3.75, berada pada level maturity level 3, Defined Tersedia kerangkat kerja yang jelas dapat dipahami dan mudah dimengerti atas
dokumentasi bagi pengguna, petunjuk pengoperasian, dan materi pelatihan. Prosedur-
275 prosedur disimpan dan dipelihara dalam suatu tempat penyimpanan dan dapat digunakan oleh siapa saja yang membutuhkannya. Tindakan perbaikan prosedur dan dokumentasi dilakukan atas dasar reaksi secara spontan. Prosedur-prosedur tersedia secara offline dan dapat diakses dan dipelihara bila terjadi masalah. Proses yang menjelaskan tentang cara memperbaharui prosedur dan materi peltihan secara eksplisit memperngaruhi perubahan pada proyek. Tersedia pendekatan-pendekatan yang terperinci tetapi pada penerapan nyata dari pendekatan tersebut sangat bervariasi karena tidak ada kendali dalam penyelenggaraan pemenuhan pendekatan tersebut. Para pengguna secara informal dilibatkan
dalam proses
mengembangkan
dan
memelihara prosedur.
Adanya
peningkatan dan penggunaan alat-alat otomatisasi untuk proses distribusi prosedurprosedur. Bisnis dan peltihan pengguna direncanakan dan dijadwalkan. Tabel 4.12: kuesioner AI4 Enable Operation and Use AI 5 Procure IT resources untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah melakukan
1
2 3
4 9
proses
pengendalian perolehan? 2.
Apakah
perusahaan
9
menyusun/membuat manajemen
kontrak
dengan supplier? 3.
Apakah
perusahaan
9
Keterangan 5
276 melakukan
pemilihan
supplier? 4.
9
Apakah perusahaan telah melakukan
akusisi
sumber daya TI? •
Rata-rata AI5 = 3.25, berada pada level maturity level 3, Defined M anajemen membuat kebijakan dan prosedur untuk proses pengakuisisian TI.
Kebijakan dan prosedur berpedoman pada proses pengadaan organisasi secara keseluruhan. Akuisisi TI sebagian besar telah terintegrasi dengan keseluruhan sistem pengadaan bisnis. Adanya standar TI untuk proses akusisi sumber daya TI. Penyalur sumber daya TI diintegrasikan ke dalam mekanisme proyek manajemen organisasi dari suatu perspektif manajemen proyek. M anajemen TI berkomunikasi dengan kebutuhan akan akuisisi dan manajemen kontrak yang tepat mengenai fungsi TI. Tabel 4.13: kuesioner AI 5 Procure IT resou rces AI6 Manage Changes untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah
1
2 3
4
Keterangan 5 9
menetapkan prosedur dan standar perubahan? 2.
Apakah
perusahaan
menilai
pengaruh
perubahan, prioritas, dan
9 Bagian
Level
melakukan terhadap
M anagement penanganan
perubahan
yang
277 autorisasi? 3.
terjadi.
Apakah
perusahaan
membuat
9
tindakan
perubahan darurat? 4.
Apakah
perusahaan
melakukan
perubahan
9
status penulusuran dan laporan dan memastikan perubahan yang diterima diimplementasikan sesuai dengan
yang
direncanakan? 5.
Apakah
ketika
9
perubahan diimplementasikan, sistem yang berhubungan dan
dokumentasi
pengguna serta prosedur akan
diperbaharui
(update)? •
Rata-rata AI6 = 3.6, berada pada maturity level 3, Defined Tersedia proses manajemen perubahan yang tersusun secara formal, mancakup
penggolongan kategori, prioritas yang diutamakan, prosedur darurat, perubahan otorisasi
278 dan manajemen pelaksanaan. Terjadi pertukaran kerja dan proses yang tersedia sering terlewati. Kesalahan dan perubahan tanpa persetujuan pihak yang berwenang sering terjadi. Analisa dan dampak perubahan TI pada operasi bisnis tersusun secara formal untuk mendukung perencanaan aplikasi dan teknologi yang baru. Tabel 4.14: kuesioner AI6 Manage Changes AI7 Install and Accredit Solutions and Changes untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
1
2 3
4
pelatihan
dan
dan
material
yang
berhubungan? 2.
Apakah
perusahaan
menetapkan pengujian berdasarkan
rencana yang dengan
standar organisasi yang mendefinisikan peraturan,
dan
pelatihan
yang
diadakan 2 kali dalam setahun.
perencanaan implementasi
5 9 Adanya
perusahaan
melakukan pelatihan staf sesuai
Keterangan
9
279 tanggungjawab? 3.
9
Apakah perusahaan telah menetapkan
rencana
implementasi
dan
rencana cadangan untuk memperoleh persetujuan dari pihak-pihak terkait? 4.
9
Apakah perusahaan telah menentukan
dan
membangun
pengujian
keamanan lingkungan? 5.
Apakah merencanakan data
9
perusahaan konversi
dan
migrasi
infrastruktur
sebagai
bagian
metode
dari
pengembangan organisasi? 6.
Adakah melakukan
perusahaan
9
pengujian
perubahan? 7.
Adakah memastikan
perusahaan pemilik
9
280 proses
bisnis
stakeholder
TI
mengevaluasi pengujian
dan
dari
proses yang
ditentukan
oleh
perencanaan pengujian? 8.
Apakah
perusahaan
melakukan
pengujian,
pengendalian
9
dari
perubahan sistem operasi agar
sesuai
dengan
perencanaan implementasi? 9.
Adakah
perusahaan
melakukan
peninjauan
ulang
setelah
9
Setiap setahun sekali dilakukan pengetesan
untuk
mereview
hasil kinerja sistem.
implementasi? •
Rata-rata AI7 = 4, berada pada level maturity level 4, managed and measurable Prosedur-prosedur yang ada disusun dan dikembangkan menjadi lebih tertata dan
mudah digunakan untuk pengujian dan akreditasi prosedur. Dalam prakteknya semua perubahan utama pada sistem mengikuti pendekatan yang telah disusun. Evaluasi atas pemenuhan kebutuhan pengguna distandarisasi dan diukur menghasilkan kerangka yang dapat ditinjau ulang dan dianalisis oleh manajemen secara efektif. Kualitas pembuatan
281 sistem telah memenuhi kebutuhan manajemen dan permasalahan yang timbul setelah implementasi berada pada level yang masih dapat ditolerir. Proses otomatisasi bersifat penting dan bergantung pada proyek. M anajemen telah merasa puas dengan tingkat efisiensi dicapai meskipun kurangnya evaluasi yang dilakukan setelah implementasi. Sistem pengujian yang ada menggambarkan lingkungan yang sebenarnya. Pengujian lebih ditekankan pada sistem baru dan pengujian secara regresi dilakukan pada sistem yang telah ada untuk proyek – proyek utama. Tabel 4.15: kuesioner AI7 Install and Accredit Solutions and Changes 4.5.3.3 Hasil perhitungan Domain Deliver & Support DS 1 Define and Manage Service Levels untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah menetapkan kerja
tingkat
manajemen
1
2 3
4 9
antara
layanan? 9
mendefinisikan layanaan dari TI? 3.
Apakah perusahaan telah menetapkan
dan
Aqua
menggunakan bagheera
untuk
setiap project frameworknya.
layanan
Apakah perusahaan telah
5
metodologi
kerangka
pelanggan dan penyedia
2.
Keterangan
9
282 menyetujui
SLAs
(Service level agreement) untuk
semua
layanan
pelanggan
berdasarkan
kebutuhan
dan
kemampuan TI? 4.
Apakah perusahaan telah mendefinisikan
level
agreement)
yang
layanan
Aqua hanya menggunakan job desk untuk mendefinisikan
OLAs
(Operating
menjelaskan
9
SLA.
bagaimana
teknis
akan
disampaikan
untuk
mendukung
SLAs
(service level agreement) dalam cara yang optimal? 5.
Apakah
perusahaan
mengawasi
dan
melaporkan
tingkat
9
pencapaian layanan? 6.
Adakah
perusahaan
meninjau
persetujuan
tingkat
layanan
dan
9
283 perjanjian? •
Rata-rata DS1 = 3.67, berada pada maturity level 3, Defined Tanggung jawabnya ditentukan dengan baik, tapi dengan wewenang yang
leluasa. Proses pengembangan SLA ada dengan titik periksa untuk menangani tingkatan layanan dan kepuasan pelanggan. Layanan dan tingkatan layanannya ditentukan, didokumentasikan dan disepakati dengan menggunakan proses standar. M asalah singkat tingkatan layanan diidentifikasi, tapi prosedur bagaimana memecahkan masalah singkatnya bersifat informal. Terdapat hubungan yang jelas antara perolehan tingkatan layanan yang diharapkan dan pendanaan yang disediakan. TIngkatan layanannya disepakati, tapi mungkin tidak mengatasi kebutuhan bisnis. Tabel 4.16: kuesioner DS 1 Define and Manage Service Levels DS 3 Manage Performance and Capacity untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah
1
2 3
4 9
membentuk suatu proses perencanaan meninjau
untuk
kinerja
dan
kapasitasnya? 2.
Apakah perusahaan saat ini telah menilai kinerja dan
kapasitas
daya TI?
sumber
9
Keterangan 5
284 3.
Apakah perusahaan telah
9
melakukan perencanaan terhadap
kinerja
dan
kapasitas sumber daya TI untuk kedepannya? 4.
Apakah perusahaan
9
manajeman telah
memastikan membentuk suatu proses perencanaan untuk meninjau kinerja? 5.
Apakah mengawasi
perusahaan
9
dan
melaporkan sumber daya TI?
•
Rata-rata DS3 = 4.2, berada pada level maturity level 4, Managed and
measu rable Proses dan alat tersedia untuk mengukur penggunaaan sistem, performansi dan kapabilitas dan hasilnya dibandingkan dengan sasaran yang ditentukan. Informasi pembaruan tersedia, memberikan statistic performansi yang distandarisasi dan mengingatkan insiden yang disebabkan oleh performansi dan kapasitas yang tidak mencukupi. M asalah performansi dan kapasitas yang tidak mencukupi dihadapi menurut prosedur yang ditentukan dan distandarisasi. Alat otomatis digunakan untuk mengawasi
285 sumber daya spesifik, misalnya muatan disket,jaringan kerja, penyedia dan pintu gerbang jaringan kerja. Statistik performansi dan kapasitas dilaporkan dalam hal proses bisnis, sehingga pengguna dan pelanggan memahami tingkatan layanan TI. Pengguna merasa puas dengan kapabilitas layanan dimasa kini dan dapat meminta tingkat ketersediaan yang baru dan meningkat. M etrik untuk mengukur performansi dan kapasitas TI disepakati tapi dapat bersifat sporadis saja dan tidak diterapkan dengan konsisten. Tabel 4.17: kuesioner DS 3 Manage Performance and Capacity DS 4 Ensure Continuous Service untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
mempunyai
1
2 3
4
Keterangan 5
9
kerangka
kerja pada proses system van sales? 2.
Apakah
rencana
kerja
tersebut
sudah
ada
pengembangan meliputi
resiko
9
dengan yang
berpotensial? 3.
Apakah dalam rencana TI
tersebut
sudah
menetapkan barang yang
9
286 harus diperhatikan dalam proses system van sales? 4.
Apakah
sudah
jaminan
9
ada bahwa
manajemen
TI
melaksanakan
prosedur
perubahan control dan rencanan
TI
terus
diperbaharui? 5.
Apakah
sudah
pengujian
9
ada
terhadap
rencana TI tersebut? 6.
Apakah
sudah
9
ada
Tiap
karyawan
mendapat
pelatihan bagi pihak yang
pelatihan minimal 16 jam /
terkait dengan rencana
tahun.
TI? 7.
Apakah rencana TI sudah
9
dapat mengatasi segala skenario bencana yang mungkin terjadi? 8.
Apakah pemulihan seperti
ada
prosedur kembali
9
Adanya Recovery)
DR untuk
(Decision setiap
pelaksanaan pemulihan ulang
287 data.
penggunaan(backup sites,alternative proses),terjadi gangguan terhadap sistem? 9.
Apakah
ada
penyimpanan
media
9
Adanya backup server di BSD bekerja sama dengan pihak
cadangan
layanan ketiga.
untuk menyimpan data perusahaan
yang
penting? 10.
Apakah
sudah
peninjauan terhadap
ada
9
kembali TI
setelah
terjadinya bencana? •
Rata-rata DS4 = 3,8, berada pada level maturity level 3, Defined Akuntabilitas untuk manajemen layanan berkelanjutan bersifat ambigu.
Tanggung jawab akan perencanaan dan pengujian layanan berkelanjutan ditetapkan dengan jelas dan ditugaskan. Rencana kelanjutan TI didokumentasikan dan didasarkan atas kritikalitas sistem dan dampak bisnisnya. Terdapat pelaporan berkala pengujian layanan berkelanjutan. Individu mengambil inisiatif untuk mengikuti standar menerima pelatihan untuk berhadapan dengan
insiden atau bencana besar. M anajemen
membicarakan dengan konsisten kebutuhan untuk berencanan untuk memastikan layanan berkelanjutan. Kelebihan komponen dan sistem yang banyak tersedia tengah diterapkan. Inventaris sistem dan komponen yang kritis dipertahankan.
288 Tabel 4.18: kuesioner DS 4 Ensure Continuous Service DS 5 Ensure Systems Security untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
1
2 3
4
Symantec
mengatur
keamanan
TI
5 9 Aqua menggunakan antivirus
perusahaan
sudah
Keterangan
dan
M icrosoft
internet security & acceleration
dalam
server 2004 standart edition
proses van sales?
untuk pengamanan proses TI.
2.
Apakah
9
perusahaan
sudah membuat rencana keamanan
TI
menganalisa dan
resiko
dengan ancaman
yang bisa
terjadi pada proses van sales? 3.
Apakah
perusahaan
sudah
menjamin
segregation of duty dan pembagiannya jelas?
dengan
9
289 4.
perusahaan
9
User ID dan password untuk
sudah memiliki prosedur
o
login ke SAP, diganti tiap
Apakah
user
account
mengambil
3bulan sekali.
dengan
data
dari
pengguna seperti nama, alamat, tanggal lahir? 5.
6.
Apakah
perusahaan
sudah
melakukan
9 Karyawan tidak diperkenankan untuk
melakukan
pembatasan transfer data
transfer
data
melalui usb flashdisk?
flashdisk/usb port.
Apakah sudah
potensi ancaman (normal, high,
jelas
critical).
mengkomunikasikan potensi
ancaman
keamanan yang terjadi pada sistem van sales sehingga digolongkan
dapat dan
ditangani dengan baik? 7.
Apakah
perusahaan
sudah membuat teknologi keamanan
bertahan
terhadap perubahan dan
menggunakan
9 Aqua memiliki tiga tahapan
perusahaan dengan
proses
9
290 penggunaan
dokumen
yang tidak perlu? 8.
Apakah
perusahaan
sudah
9
menentukan
prosedur dan kebijakan dalam
mengatur
pembaharuan, perubahan, pencabutan
kembali,
perusakan,
pengiriman,
penyimpanan, pemasukan, menggunakan
dan
mengarsipkan
kunci
cryptographic
untuk
menjamin kunci modifikasi
perlindungan melawan dan
penggunaan tidak resmi? 9.
Apakah sudah tindakan pendeteksi pembetulan
perusahaan menempatkan pencegahan, dan dalam
9
291 organisasi untuk menjaga sistem
informasi
teknologi
dari
dan virus,
spam, worms, spyware? 10.
Apakah
perusahaan
sudah
9
menggunakan
teknik
keamanan
prosedur
dan
manajemen
seperti firewall, peralatan keamanan,
segmentasi
jaringan,
instruksi
pendeteksian menjamin
untuk ketersediaan
data? 11.
Apakah sudah
perusahaan ada
pertukaran
transaksi yang penting dalam proses van sales hanya dilakukan dalam jalur
yang
dengan
terpercaya memberikan
keaslian isi dan bukti kuitansi?
9
292 •
Rata-rata DS5 = 4.18, berada pada level maturity level 4, Managed and
measu rable Tanggung jawabkan keamanan TI ditugaskan, diatur dan ditegaskan dengan jelas. Analisa dampak dan resiko keamanan TI dilakukan dengan konsisten. Kebijakan dan prosedur keamanan dilengkapi dengan dasar keamanan spesifik. Keterbukaan kepada metode untuk mendorong kesadaran keamanan bersifat mandatoris. Identifikasi pengguna, keotentikan dan kewenangan distandarisasi. Sertifikasi keamanan diikuti bagi anggota staf yang bertanggung jawab akan audit dan manajemen keamanan. Pengujian keamanan dilengkapi dengan menggunakan proses yang standar dan diformalisasi, menyebabkan kenaikan tingkat keamanan. Proses keamanan TI dikoordinasikan dengan keseluruhan fungsi keamanan organisasi. Pelaporan keamanan TI dihubungkan kepada tujuan bisnis. Pelatihan keamanan TI dilaksanakan pada bisnis dan TI. Pelatihan keamanan TI direncanakan dan diatur dengan cara yang merespon terhadap kebutuhan bisnis dan profil resiko keamanan yang ditentukan. Sasarn dan metric untuk manajemen keamanan telah ditentukan tapi belum diukur. Tabel 4.19: kuesioner DS 5 Ensure Systems Secu rity DS 6 Identify and Allocate Costs untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah mengidentifikasi
semua
biaya IT yang digunakan dalam proses van sales?
1
2 3
4
Keterangan 5 9
293 2.
Apakah perusahaan telah mengalokasikan
9
biaya
actual berdasarkan model biaya perusahaan? 3.
Apakah
model
biaya-
9
Tiap
bagian
menyusun
budgetnya setiap tahun.
biaya pada perusahaan telah disesuaikan dengan pembebanan layanan TI pada sistem van sales agar dapat diidentifikasi, diukur,
dan
diprediksi
oleh pengguna? 4.
Apakah perusahaan telah meninjau
kembali
9
Paling besar biaya maintenance server SAP.
ketepatan biaya terhadap pembayaran software memelihara
lisensi guna hubungan
perkembangan bisnis dan aktivitas IT? •
Rata-rata DS6 = 4.25, berada pada level maturity level 4, Managed and
measu rable Tanggung jawab dan akuntabilitas manajemen biaya layanan informasi
294 ditentukan dan sepenuhnya dipahami pada semua tingkatan dan didukung oleh pelatihan formal. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan dengan cara yang tepat waktu dan otomatis kepada manajemen, pemilik proses bisnis dan pengguna. Umumnya, terdapat pengawasan dan evaluasi biaya, dan tindakan dilakukan jika penyimpangan biaya terdeteksi. Pelaporan biaya layanan informasi dikaitkan kepada tujuan bisnis dan SLA dan diawasi oleh pemilik proses bisnis. Fungsi keuangan meninjau keberalasan proses alokasi biaya. Ada sistem penghitungan biaya otomatis, tapi lebih berfokus pada fungsi layanan informasi daripada proses bisnis. Sasaran dan metric disepakati untuk pengukuran biaya tapi tidak diukur dengan konsisten. Tabel 4.20: kuesioner DS 6 Identify and Allocate Costs DS 7 Educate and Train Users untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
sudah
1
2 3
4
Keterangan 5
9
2 kali dalam setahun (end users) dan 1 kali sebulan (key
memiliki
kurikulum
users).
dalam
pelatihannya? 2.
Berdasarkan identifikasi kebutuhan dan
pendidikan
pelatihan
apakah
perusahaan
sudah
identifikasi
target
kelompok
dan
9
295 anggotanya, trainer yang efisien? 3.
Apakah sudah
perusahaan
9
mengevaluasi
pendidikan dan pelatihan yang diberikan setelah penyelesaian relevansi,
untuk kualitas,
keefektifan, pengetahuan, dan nilai? •
Rata-rata DS7 = 4.33, berada pada level maturity level 4, Managed and
Measurable Ada program pelatihan dan pendidikan yang kompeherensif yang menghasilkan hasil yang dapat diukur. Tanggung jawabnya jelas, dan proses kepemilikan ditetapkan. Pelatihan dan pendidikan merupakan komponen dari jalur karir pegawai. M anajemen mendukung dan menghadiri sesi pelatihan dan pendidikan. Semua pegawai menerima pelatihan perilaku etis dan kesadaran keamanan sistem. Semua pegawai menerima tingkatan pelatihan praktek keamanan sistem yang tepat dalam melindungi dari bahayanya kegagalan yang mempengaruhi ketersediaan, kepercayaan diri dan integritas. M anajemen mengawasi kepatuhan dengan meninjau dan memperbaharui dengan konstan program dan proses pelatihan dan memperbaharui dengan konstan program dan proses pelatihan dan pendidikan. Proses-prosesnya tengah ditingkatkan dan memperkuat praktek internal yang terbaik.
296 Tabel 4.21: kuesioner DS 7 Educate and Train Users DS 8 Manage Service Desk and Incidents untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
1
2 3
4
mendefinisikan
service
desk
karyawan
5 9
perusahaan
sudah
Keterangan
kepada
secara
jelas
dan mendetail? 2.
Apakah
perusahaan
sudah
9
Aqua SIR
mencatat
masalah/problem
user
secara terkomputerisasi? 3.
Apakah perusahaan telah
9
membuat prosedur bagi solusi
yang
terhadap
diberikan pertanyaan
pelanggan? 4.
Apakah perusahaan telah membuat prosedur bagi solusi
yang
terhadap pelanggan?
diberikan pertanyaan
9
297 5.
9
Apakah perusahaan telah membuat
laporan
dari
setiap aktivitas pelayanan yang diberikan? •
Rata-rata DS8 = 4.2, berada pada level maturity level 4, Managed and
Measurable Ada pemahaman penuh akan keuntungan proses manajemen insisden pada semua tingkatan organisasi, dan funsi bagian layanan ditetapkan di unit organisasional yang tepat. Alat dan teknik dihidupkan dengan dasar pengetahuan yang terpusat. Anggota staf bagian layanan berinteraksi dengan erat dengan anggota staf manajemen masalah. Tanggung jawabnya jelas, dan keefektifan diawasi. Prosedur untuk membicarakan. Personel bagian layanan dilatih, dan prosesnya diperbaiki melalui penggunaan piranti lunak yang spesifik tugas. M anajemen mengembangkan matrik untuk performansi bagian layanan. Tabel 4.22: kuesioner DS 8 Manage Service Desk and Incidents DS 11 Manage Data untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah semua data yang diterima selama proses van
sales
dari
awal
hingga proses tersebut selesai telah diverifikasi
1
2 3
4 9
Keterangan 5
298 secara akurat dan tepat waktu? 2.
Apakah data van sales perusahaan
9
telah
disimpan dan diarsipkan guna
menciptakan
keamanan
dan
kemudahan
dalam
pemakaiannya? 3.
Apakah perusahaan telah memiliki
9
Semua data transaksi van sales disimpan langsung di server
media
SAP di Singapura.
penyimpanan guna untuk menjamin
ketepatan
penggunaan
dan
integritas data van sales? 4.
Apakah perusahaan telah menetapkan
dan
mengimplementasikan prosedur
untuk
memastikan bahwa telah ada sensitivitas
perlindungan data
dan
software ketika data dan
9
299 hardware
diatur
ditransfer
atau demi
kebutuhan bisnis? 5.
Apakah perusahaan telah
9
memiliki prosedur untuk backup serta restoration? 6.
Apakah perusahaan telah menetapkan
9
dan
mengimplementasikan kebijakan dan prosedur untuk
kebutuhan
keamanan
bagi
penerimaan, proses dan penyimpanan serta output data
sesuai
dengan
kebutuhan bisnis? •
Rata-rata DS11 = 4.16, berada pada level maturity level 4, Managed and
Measurable Perlunya manajemen data dipahami, dan tindakan yang diperlukan diterima di dalam organisasi. Tanggung jawab akan kepemilikan dan manajemen data ditentukan, ditugaskan dan dibicarakan dengan jelas di dalam organisasi. Prosedurnya diformalisasi dan diketahui luas, dan pengetahuan dibagi. Penggunaan alat yang sekarang bermunculan. Sasaran dan indicator performansi disepakati denagn pelanggan dan
300 diawasi melalui proses yang ditentukan dengan baik. Pelatihan formal untuk anggota staf manajemen data tersedia. Tabel 4.23: kuesioner DS 11 Manage Data DS 12 Manage the Physical Environment untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah mendefinisikan memilih
1
2 3
4
Keterangan 5
9
dan lokasi
penempatan peralatan TI yang akan mendukung strategi teknologi yang dihubungkan
pada
strategi bisnis? 2.
Apakah perusahaan telah mendefinisikan
9
.
9
Aqua
dan
menerapkan pengukuran keamanan secara nyata berkaitan
dengan
kebutuhan bisnis untuk mengancam lokasi dan aset secara fisik? 3.
Apakah perusahaan telah
menyediakan
SAR
301 dan
(Segregation Access Review)
menerapkan pengukuran
untuk pembatasan akses bagi
keamanan secara nyata
setiap karyawannya.
mendefinisikan
berkaitan
dengan
kebutuhan
untuk
membatasi akses? 4.
Apakah
perusahaan
9
melakukan perlindungan dengan
menyediakan
peralatan khusus untuk mengawasi
dan
mengendalikan lingkungan? 5.
Apakah perusahaan telah melakukan terhadap
pengelolaan
9
M aintenance dilakukan setiap 2 bulan sekali.
fasilitas yang
ada (termasuk peralatan komunikasi)? •
Rata-rata DS 12 = 3.8, berada pada maturity level 3, Defined Perlunya mempertahankan lingkungan computer yang terkontrol dipahami dan
diterima di dalam organisasi. Kontrol lingkungan, pemeliharaan preventif dan keamanan fisik merupakan item anggaran yang disetujui dan dilacak oleh manajemen. Batasan akses diterapkan, dengan hanya personel yang disetujui yang member ijin akses ke
302 fasilitas komputer. Pengunjung dicata dan dikawal, tergantung pada individunya. Fasilitas tidak menonjol dan tidak mudah dikenal. Wewenang sipil mengawasi kepatuhan dengan peraturan kesehatan dan keamanan. Resikonya dipastikan dengan upaya minimal untuk mengoptimalkan biaya asuransi. Tabel 4.24: kuesioner DS 12 Manage the Physical Environment DS 13 Manage Operations untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
perusahaan
1
2 3
4
Keterangan 5
9
sudah mengimplementasi prosedur operasi TI dan menjamin
pemakai
mengetahui tentang tugas operasinya? 2.
Apakah
9 Penyediaan job desk untuk
perusahaan
setiap karyawan.
sudah membuat jadwal pekerjaan kepada setiap karyawan? 3.
Apakah
perusahaan
sudah
mengamati
hardware, software pada perusahaan?
9
303 4.
Apakah
perusahaan
9
melakukan perlindungan terhadap
dokumen
rahasia dan hasilnya? 5.
Apakah perusahaan telah
9
menetapkan dan prosedur waktu
pemeliharaan
infrastruktur (hardware)? •
Rata-rata DS13 = 4.2, berada pada maturity level 4, Managed and Measurable
Operasi komputer dan tanggung jawan dukungan ditentukan dengan jelas dan kepemilikan ditugaskan. Operasi didukung melalui anggaran sumber daya untuk pengeluaran modal dan sumber daya manusia. Pelatihan diformalisasi dan tengah berjalan. Jadwal dan tugas didokumentasikan dan dibicarakan, secara internal ke fungsi TI dan pelanggan bisnis. Aktivitas harian mungkin saja diukur dan diawasi dengan kesepakatan performansi yang distandarisasi dan tingkatan layanan yang ditetapkan segera dibereskan dan diperbaiki. M anajemen mengawasi penggunaan sumber daya computer dan penyelesaian kerja atau tugas yang diberikan. Terdapat upaya yang sedang berjalan untuk meningkatkan tingkat penghidupan proses sebagai sarana peningkatan berkelanjutan. Pemeliharaan formal dan kesepaktan layanan ditetapkan oleh vendor. Ada kesejajaran yang penuh dengan masalah, kapasitas dan proses manjemen ketersediaan, yang didukung oleh analisis penyebab kesalahan atau kegagalan. Tabel 4.25: kuesioner DS 13 Manage Operations
304 4.2.3.4. Hasil Perhitungan Domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah ada langkah – langkah
untuk
pengawasan
dalam
1
2 3
4
Keterangan 5
9
mendefinisikan lingkup, cara/teknik
dan proses
untuk mengukur solusi TI dan kontribusi TI ke perusahaan? 2.
Apakah
pencapaian
9
pengaturan target telah didefinisikan
dengan
baik? 3.
Apakah memiliki pengawasan mencatat
perusahaan metode yang target,
pencapaian TI dan sesuai dengan
sistem
9
Cukup baik
305 pengawasan perusahaan? 4.
Apakah
9
perusahaan
secara
periodik
memeriksa
kembali
pencapaian
yang
bertentangan tujuan,
dengan menganalisa
penyebabnya,
dan
memulai
tindakan
perbaikan
untuk
penyebab
kegagalan
tersebut? 5.
Apakah ada pembuatan laporan atas kontribusi TI perusahaan? bentuk
Dalam pencapaian
program investasi TI dan solusi, mencakup laporan tujuan perencanaan yang telah
dicapai,
sumber
daya
budget yang
digunakan dan dianalisa resikonya
9
306 6.
Apakah
ada
perbaikan
tindakan
9
pada
pengawasan pencapaian dan pelaporannya? Baik melalui
pemeriksaan
kembali,
pembentukan
respon penyerahan
manajemen, tanggung
jawab maupun mengikuti hasil dari tindakan yang dilakukan. •
Rata-rata M E1 = 4.16, berada pada level maturity level 4, Managed and
Measurable M anajemen menentukan toleransi diman proses harus beroperasi. Pelaporan hasil pengawasan tengah distandarisasi dan dinormalisasi. Ada integrasi metrik di sepanjang semua proyek dan proses TI. Sistem pelaporan manajemen organisasi TI diformalisasi. Alat otomatis diintegrasikan dan diungkit di seluruh organisasi untuk mengumpulkan dan mengawasi informasi operasional pada aplikasi, sistem dan proses. M anajemen mampu mengevaluasi performansi berdasarkan atas kriteria yang disepakati yang disetujui oleh pemegang saham. Pengukuran fungsi TI sejajar dengan sasaran seluruh organisasi. Tabel 4.26: kuesioner ME1 Monitor and Evaluate IT Performance
307 ME 2 Monitor and Evaluate Internal Control untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah
1
2 3
4
telah
mengawasi
dan
5 9
manajemen
perusahaan
Keterangan
mengevaluasi pengendalian
internal
untuk memenuhi tujuan organisasi? 2.
Apakah
9
perusahaan
melakukan
evaluasi
efisiensi dan efektifitas dari
pengendalian
internal TI? 3.
Apakah
perusahaan
memperluas pengendalian pengecualian dan laporan kepada pengguna dengan tepat?
9
308 4.
9
Apakah perusahaan telah memeriksan kelengkapan dan
keefektifan
pengendalian manajemen dari proses TI, kebijakan dan perjanjian melalui program
yang
berkelanjutan
dari self
assement? 5.
Apakah
9
efektifitas
pengendalian
internal
telah terjamin? Sistem yang
berjalan
telah
baik,
tidak
berjalan
menyebabkan terjadinya banyak kecurangan. 6.
Apakah ada konfirmasi bahwa
pihak
perusahaan dengan
sah
9
luar
mematuhi prosedur
yang berlaku? 7.
Apakah
dilakukan
tindakan perbaikan dari
9
309 pengendalian yang ada dan laporan? •
Rata-rata M E2 = 4, berada pada level maturity level 4, Managed and
Measurable M anajemen telah menerapkan kerangka kerja bagi pengendalian internal IT pemantauan. Organisasi telah menetapkan tingkat toleransi untuk kontrol internal proses pemantauan. Alat telah dilaksanakan untuk standar penilaian dan kontrol untuk secara otomatis mendeteksi pengecualian. IT formal fungsi pengawasan internal didirikan, dengan spesialisasi dan bersertifikat profesional menggunakan kerangka kontrol formal didukung oleh manajemen senior. Terampil staf TI secara rutin berpartisipasi dalam penilaian pengendalian internal. Sebuah basis pengetahuan metrik informasi sejarah pengendalian internal telah dibentuk. Peer review untuk pemantauan pengendalian internal telah dibentuk. Tabel 4.27: kuesioner ME 2 Monitor and Evaluate Internal Control ME 3 En sure Compliance With External Requirements untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
Apakah perusahaan telah melakukan tentang eksternal dengan
identifikasi kebutuhan yang
peraturan
sesuai dan
1
2 3 9
4
Keterangan 5
310 pemenuhan kebutuhan? 2.
Apakah perusahaan telah
9
optimis dalam menjawab kebutuhan eksternal? 3.
Apakah
perusahaan
9
mengevaluasi pemenuhan kebijakan
tentang IT,
standar,
prosedur dan metodologi dan metodologi dengan kebutuhan
peraturan
yang sah?
4.
Apakah perusahaan telah memperoleh
9
dan
melaporkan jaminan atas pemenuhan dan mentaati semua kebijakan internal terarah
dari
arahan
internal atau eksternal? 5.
Apakah perusahaan telah memperoleh
dan
melaporkan jaminan atas
9 Aqua officer
menyediakan untuk
service desk.
security
pemenuhan
311 pemenuhan dan menaati semua kebijakan internal yang terarah dari internal atau eksternal? •
Rata-rata M E3 = 3.8, berada pada maturity level 3, Defined Process Kebijakan,
prosedur
dan
proses
telah
berkembang,
dokumen
dan
dikomunikasikan untuk memastikan kepatuhan terhadap peraturan dan kontraktual dan kewajiban hukum, tapi beberapa mungkin tidak selalu diikuti dan beberapa mungkin ketinggalan zaman atau tidak praktis untuk diterapkan. Ada sedikit pemantauan yang dilakukan dan ada pemenuhan persyaratan yang belum dibahas. Pelatihan disediakan dalam eksternal persyaratan hukum dan peraturan yang mempengaruhi organisasi dan proses kepatuhan yang didefinisikan. Standar pro forma kontrak dan proses hukum keluar untuk meminimalkan risiko yang terkait dengan kewajiban kontraktual. Tabel 4.28: kuesioner ME 3 Ensure Compliance With External Requirements ME4 Provide IT Governance untuk maturity level 0-5 pada 1 responden. No.
Pertanyaan
Maturity Level 0
1.
1
2 3
9
Apakah perusahaan telah melakukan pembentukan kerja IT governance?
2.
Apakah perusahaan telah menetapkan strategis alignment?
4
9
Keterangan 5
312 3.
9
Apakah perusahaan telah memastikan bahwa hasil bisnis yang diharapkan dari investasi TI dan usaha yang diperlakukan untuk mencapai hasil yang dipahami?
4.
9
Apakah perusahaan telah mengatur sumber daya manajemen
sehingga
sejalan
dengan
sasaran
dan
hasil
strategis
bisnis sekarang maupun yang akan datang? 5.
9
Apakah perusahaan telah menetapkan manajemen resiko yang timbul?
6.
9
Apakah perusahaan telah melakukan
pengukuran
kinerja
berdasarkan
sasaran dan tujuan TI? 7.
Apakah perusahaan telah
9
313 memperoleh
jaminan
independen atau
(eksternal
internal)
tentang
komfirmasi TI dengan peraturan
dan
hukum
yang relevan, kebijakan organisasi, standard, dan prosedur, praktek yang berlaku
umum,
dan
kinerja TI yang efektif dan efisien? •
Rata-rata M E4 = 4, berada pada level maturity level 4, Managed and
Measurable Ada pemahaman penuh akan masalah pemerintahan TI pada semua tingkatan. Ada pemahaman yang jelas akan siapa pelanggannya, dan tanggung jawabnya jelas dan proses kepemilikan ditetapkan. Proses TI dan pemerintahan TI disejajarkan dengan dan diintegrasikan ke strategi bisnis dan TI. Peningkatan proses TI terutama didasarkan atas pemahaman kuantitatif, dan kepatuhan mungkin saja diawasi dan diukur dengan prosedur dan metrik proses. Semua pemeganga saham proses menyadari akan resiko, pentingnya TI dan kesempatan yang bisa diberikannya. M anajemen menentukan toleransi dimana prosesnya harus beroperasi. Ada penggunaan teknologi yang terbatas dan terutama bersifat taktis, berdasarkan atas teknik yang matang dan alat standar yang dipertegas. Pemerintahan TI telah diintegrasikan ke perencanaan strategis dan
314 operasional dan proses pengawasan. Indikator performansi pada semua aktivitas pemerintahan TI tengah dicatat dan dilacak, menyebabkan peningaktan seluruh perusahaan. Keseluruhan akutanbilitas dari performansi proses kuncinya jelas, dan manajemen dihargai berdasarkan atas ukuran performansi kunci. Tabel 4.29: kuesioner ME4 Provide IT Governance 4.2.5
Hasil Evaluasi Pengedalian Sistem Informasi Van Sales Berdasarkan hasil kuesioner yang dilakukan pada PT. Tirta Investama, Jakarta. Diperoleh temuan-temuan masalah potensial sebagai berikut : 1. Domain Plan & Organize PO2 Define the Information Architecture Temuan : PT. Tirta Investama tidak memiliki kamus data dan peraturan yang dapat memudahkan adanya kemudahan dalam mengakses sistem van sales. Dampak Masalah : Dapat memungkinkan terjadinya suatu kesalahan pada end user sistem van sales yang mengakibatkan hasil output yang kurang optimal. Rekomendasi : M anajemen perusahaan harus membuat kamus data agar membantu pelaku sistem untuk mengartikan aplikasi secara detail dan mengorganisasi semua elemen data yang digunakan dalam sistem secara tepat sehingga pemakai dan penganalisis sistem mempunyai dasar pengertian yang sama tentang masukan, keluaran, penyimpanan dan proses.
315 PO3 Determine Technological Direction Temuan: Perusahaan tidak menganalisa keadaan dan kemunculan teknologi untuk diterapkan kedepan dalam sistem van sales Dampak masalah:
Sistem van sales tidak mengikuti teknologi seiring perkembangan zaman dan bersifat monoton.
Rekomendasi: Perusahaan harus lebih melakukan inovasi terhadap perkembangan teknologi yang terbaru untuk diterapkan dalam sistem van sales PO4 Define the IT Processes, O rganisation and Relationships Temuan : PT. Tirta Investama tidak memiliki keorganisasian eksternal yang menunjukan keperluan dalam sistem van sales. Dampak Masalah : Jika tidak ada kerjasama dengan pihak eksternal, maka keterbatasan sumber daya spesifik yang diperlukan untuk inovasi akan semakin sedikit, yang menyebabkan perusahaan kurang dalam melakukan inovasi. Rekomendasi : M eskipun perusahaan memiliki keorganisasian internal, tetapi perlu adanya kerjasama dalam keorganisasian eksternal untuk membangun
316 hubungan yang lebih baik dengan pihak luar.Sehingga perusahaan mampu mengembangkan inovasi dalam sistem van sales.
PO10 Manage Projects Temuan : Perusahaan tidak memiliki perencanaan terhadap kualitas proyek yang dijalankan Dampak masalah : Semua proyek yang berjalan tanpa pengendalian dan tanpa adanya pengawasan
sehingga persentase proyek terkadang tidak sesuai dan tepat
pada waktunya dan sesuai anggaran. Rekomendasi : M elakukan review dan evaluasi terhadap kualitas kinerja proyek yang telah berjalan, memberikan transparansi tentang status proyek serta mengeluarkan pedoman manajemen proyek dalam usaha pencapaian kualitas proyek yang maksimal. 2. Acquire and Implement AI2 Acquire and maintain application software Temuan : Perancangan,
pengembangan, pengujian dan pengawasan sistem
sebagian besar dilakukan di Paris yang merupakan pusat riset dan pengendalian Danone Group, sedangkan PT. Tirta Investama, Jakarta hanya melakukan implementasi dan maintenance sistem saja.
317 Dampak masalah : Pengunaan software dan hardware yang hanya berstandarkan pada ketentuan kantor pusat tanpa memperhitungkan perkembangan TI dapat memperlambat kinerja kegiatan operasional. Rekomendasi : PT.Tirta Investama sebaiknya berani menyarankan hardware atau software secara langsung kepada Danone, Paris sebagai pusat dari group guna menunjang kegiatan operasional perusahaan agar menjadi lebih optimal dengan penggunaan TI yang mengikuti perkembangan TI. AI 5 Procure IT resources Temuan : Perusahaan tidak melakukan akusisi sumber daya tenaga kerja TI Dampak masalah : Pengeluaran perusahaan menjadi lebih besar dan aktivitas operasional perusahaan menjadi lebih banyak
Rekomendasi : Aqua harus mengambil langkah outsourcing dalam proses akuisisi pengambilan sumber tenaga kerja TI untuk mengurangi pengeluaran biaya AI6 Manage Changes Temuan : Perusahaan tidak menghendaki apabila ada suatu perubahan dalam proyek yang sedang berjalan. Dampak masalah :
318 Apabila terjadi perubahan dalam proyek yang sedang berjalan, akan mengakibatkan biaya bertambah, jadwal yang diharapkan tidak tepat, scope dari proyek yang dikerjakan tidak akan sesuai, dan kualitas proyek yang kurang maksimal. Rekomendasi : Perusahaan harus dapat mempercayaikan proyek yang akan dilakukan dengan memakai SDM yang expert dibidangnya. Dan perusahaan pun harus dapat membimbing SDM agar bertambah kualitas dari SDM itu sendiri. 3. Deliver and S upport DS 1 Define and Manage Service Levels Temuan : PT. Tirta Investama tidak memiliki OLAs (Operating level agreement). Dampak Masalah : M engakibatkan tidak adanya referensi, best practice, komponenkomponen pendukung aplikasi, seperti hardware, software, storage dan network, availability-nya , karena semuanya diatur di dalam OLAs tetapi tidak dicatat dalam job desk. Tanpa adanya OLA Divisi TI hanya sebagai tool (alat bantu) dalam suatu bisnis. Tidak bertindak sebagai activator.Kurangnya deskripsi yang lebih detail tentang bagaimana layanan keamanan informasi akan diberikan, yang akan dinegosiasikan dan didefinisikan dalam organisasi TI. Rekomendasi :
319 M enerapkan OLA sehingga Divisi TI tidak hanya bertindak sebagai tool (alat bantu) saja dalam suatu bisnis. Tetapi bertindak sebagai activator
dan perusahaan memiliki deskripsi yang lebih
detail tentang bagaimana layanan TI.
DS 5 Ensure Systems Security Temuan : Tidaknya adanya jaminan dalam segregation of duty
dan
pembagiannya dengan jelas. Dampak Masalah : Fungsi tugas dan tanggung jawab setiap staf menjadi tidak jelas. Rekomendasi : M anajemen harus membuat pembagian tugas dan tanggung jawab menjadi baik. 4.Monitor And evaluate ME4 Provide IT Governance Temuan : perusahaan tidak memperoleh jaminan independen (eksternal atau internal) tentang konfirmasi TI dengan peraturan dan hukum yang relevan, kebijakan organisasi, standard, dan prosedur, praktek yang berlaku umum, dan kinerja TI yang efektif dan efisien ?
Dampak Masalah :
320 Alat untuk mengukur manajemen TI terbatas dan angka pelanggaran/ toleransi yang diberikan kepada pimpinan cukup tinggi
Rekomendasi : Adanya peninjuan kepatuhan independen TI, adanya frekuensi pelaporan TI kepada dewan(vice president)
321 4.6 Laporan Hasil Evaluasi LAPORAN EVALUAS I PENGENDALIAN S IS TEM VAN SALES PAD A PT. TIRTA INVES TAMA, JAKARTA
Kepada
: PT. Tirta Investama
Divisi
: Management Information S ystem (MIS )
Perihal
: Laporan Hasil Evaluasi Pengedalian Sistem Van Sales
Periode
: September 2009 – Januari 2010
Oleh : Joseph Kurniawan Hariyanto Kurniawan Aga Wiranto
Januari 2010
322 I. Tujuan Tujuan dari pengevaluasian sistem van sales ini adalah : a. M engetahui tata kelola penggunaan TI yang ada di PT. Tirta Investama b. M engidentifikasi dan mengelola proses-proses yang berhubungan dalam penggunaan TI apakah telah mencapai posisi yang optimal. c. M enganalisa kelemahan-kelemahan yang masih ada dalam pelaksanaan pengelolaan dan penggunaan TI. d. M enentukan posisi perusahaan pada saat ini menurut maturity level COBIT khususnya pada domain Plan and Organise (PO), Acqure and Implement (AI), Deliver and Support (DS), Monitoring and Evaluate (M E) II. Ruang Lingkup Adapun batasan masalah dalam penulisan ini dapat dijelaskan sebagai berikut: 1. Sistem Informasi Van Sales yang dimulai dari proses upload SO ke SAP sampai proses pembayaran (final payment). 2. Evaluasi sistem infomasi van sales menggunakan standar COBIT dengan menggunakan internal perspective 3. M enggunakan 4 domain COBIT, yaitu Plan and Organise (PO), Acqure and Implement (AI), Deliver and Support (DS), Monitoring and Evaluate (M E) 4. Evaluasi juga dilakukan dengan menilai Maturity Level COBIT. III. Metode Penelitian Adapun metode penelitian yang dilakukan untuk mengevaluasi sistem van sales adalah sebagai berikut : •
Studi Pustaka
323 •
Studi lapangan
•
Wawancara (Interview)
•
Pengamatan (Observation)
•
Kuesioner
IV. Metode Evaluasi -
Perencanaan dan Organisasi (Plan and Organise) Dalam hal ini mencakup strategi dan taktik, menekankan pada identifikas i bagaimana teknologi informasi dapat memberikan kontribusi yang terbaik dalam pencapaian tujuan perusahaan dan dapat memberikan yang terbaik untuk pencapaian objektif bisnis.
-
Perolehan dan Impelementasi (Aquare and Implement) Untuk merealisasikan strategi teknologi informasi diidentifikasi, dibangun, atau dibeli, diimpelementasi dan diintegerasikan ke dalam proses bisnis.
-
Pengiriman dan Pendukung (Deliver and Support) Hal ini lebih dipusatkan pada penyerahan aktual dari syarat layanan dengan jarak dari semua operasi keamanan tradisional dan aspek urutan pelatihan.
-
Pemantauan dan Evaluasi (Monitoring and Evaluate) Yaitu semua proses teknologi yang perlu dinilai secara teratur agar kualitas dan kelengkapannya berdasarkan pada syarat kontrol.
V. Hasil Evaluasi Berdasarkan hasil evaluasi yang dilakukan terdapat temuan-temuan yang bersifat positif dan negatif. Temuan positif merupakan temuan terhadap standar/ prosedur/ kebijakan yang telah dilakukan oleh perusahaan dengan baik.
324 Sedangkan, temuan negatif merupakan temuan kelemahan potensial yang terjadi pada aktivitas bisnis perusahaan yang dapat mengakibatkan kerugian sehingga perlu dilakukannya perbaikan atau perubahan. •
Temuan Positif :
1. Pada PT. Tirta Investama terdapat bagian SIR (System Investigation Request) untuk menangani jika ada bug ataupun error pada sistem van sales. 2. Tiap karyawan diberikan pelatihan minimal 16 jam /tahun yang berhubungan dengan IT. 3. Adanya DR (Decision Recovery) untuk setiap pelaksanaan pemulihan ulang data. 4. Login user account SAP diganti setiap 3 bulan sekali, untuk penggunaan user id dan password bisa dikombinasikan dengan huruf dan angka.M aksimal 16digit. 5. Karyawan tidak diperkenankan untuk melakukan proses transfer data menggunakan flashdisk/usb port untuk menghindari terjadinya penyebaran virus dan pencurian data. 6. Setiap problem user dicatat, dan didokumentasikan ke dalam lotus notes. 7. Aqua menyediakan security officer untuk pemenuhan service desk. •
Temuan Negatif
1. Domain Plan & Organize PO2 Define the Information Architecture Temuan :
325 PT. Tirta Investama tidak memiliki kamus data dan peraturan yang dapat memudahkan adanya kemudahan dalam mengakses sistem van sales. Dampak Masalah : Dapat memungkinkan terjadinya suatu kesalahan pada end user sistem van sales yang mengakibatkan hasil output yang kurang optimal. Rekomendasi : M anajemen perusahaan harus membuat kamus data agar membantu pelaku sistem untuk mengartikan aplikasi secara detail dan mengorganisasi semua elemen data yang digunakan dalam sistem secara tepat sehingga pemakai dan penganalisis sistem mempunyai dasar pengertian yang sama tentang masukan, keluaran, penyimpanan dan proses. PO3 Determine Technological Direction Temuan: Perusahaan tidak menganalisa keadaan dan kemunculan teknologi untuk diterapkan kedepan dalam sistem van sales Dampak masalah: Sistem van sales tidak mengikuti teknologi seiring perkembangan zaman dan bersifat monoton. Rekomendasi: Perusahaan harus lebih melakukan inovasi terhadap perkembangan teknologi yang terbaru untuk diterapkan dalam sistem van sales
326 PO4 Define the IT Processes, O rganisation and Relationships Temuan : PT. Tirta Investama tidak memiliki keorganisasian eksternal yang menunjukan keperluan dalam sistem van sales. Dampak Masalah : Jika tidak ada kerjasama dengan pihak eksternal, maka keterbatasan sumber daya spesifik yang diperlukan untuk inovasi akan semakin sedikit, yang menyebabkan perusahaan kurang dalam melakukan inovasi. Rekomendasi : M eskipun perusahaan memiliki keorganisasian internal, tetapi perlu adanya kerjasama dalam keorganisasian eksternal untuk membangun hubungan yang lebih baik dengan pihak luar.Sehingga perusahaan mampu mengembangkan inovasi dalam sistem van sales. PO10 Manage Projects Temuan : Perusahaan tidak memiliki perencanaan terhadap kualitas proyek yang dijalankan Dampak masalah : Semua proyek yang berjalan tanpa pengendalian dan tanpa adanya pengawasan
sehingga persentase proyek terkadang tidak sesuai dan tepat
pada waktunya dan sesuai anggaran. Rekomendasi : M elakukan review dan evaluasi terhadap kualitas kinerja proyek yang telah berjalan, memberikan transparansi tentang status proyek serta
327 mengeluarkan pedoman manajemen proyek dalam usaha pencapaian kualitas proyek yang maksimal. 2. Acquire and Implement AI2 Acquire and maintain application software Temuan : Perancangan,
pengembangan, pengujian dan pengawasan sistem
sebagian besar dilakukan di Paris yang merupakan pusat riset dan pengendalian Danone Group, sedangkan PT. Tirta Investama, Jakarta hanya melakukan implementasi dan maintenance sistem saja. Dampak masalah : Pengunaan software dan hardware yang hanya berstandarkan pada ketentuan kantor pusat tanpa memperhitungkan perkembangan TI dapat memperlambat kinerja kegiatan operasional. Rekomendasi : PT.Tirta Investama sebaiknya berani menyarankan hardware atau software secara langsung kepada Danone, Paris sebagai pusat dari group guna menunjang kegiatan operasional perusahaan agar menjadi lebih optimal dengan penggunaan TI yang mengikuti perkembangan TI. AI 5 Procure IT resources Temuan : Perusahaan tidak melakukan akusisi sumber daya tenaga kerja TI Dampak masalah : Pengeluaran perusahaan menjadi lebih besar dan aktivitas operasional perusahaan menjadi lebih banyak
328
Rekomendasi : Aqua harus mengambil langkah outsourcing dalam proses akuisisi pengambilan sumber tenaga kerja TI untuk mengurangi pengeluaran biaya AI6 Manage Changes Temuan : Perusahaan tidak menghendaki apabila ada suatu perubahan dalam proyek yang sedang berjalan. Dampak masalah : Apabila terjadi perubahan dalam proyek yang sedang berjalan, akan mengakibatkan biaya bertambah, jadwal yang diharapkan tidak tepat, scope dari proyek yang dikerjakan tidak akan sesuai, dan kualitas proyek yang kurang maksimal. Rekomendasi : Perusahaan harus dapat mempercayaikan proyek yang akan dilakukan dengan memakai SDM yang expert dibidangnya. Dan perusahaan pun harus dapat membimbing SDM agar bertambah kualitas dari SDM itu sendiri. 3. Deliver and S upport DS 1 Define and Manage Service Levels Temuan : PT. Tirta Investama tidak memiliki OLAs (Operating level agreement). Dampak Masalah :
329 M engakibatkan tidak adanya referensi, best practice, komponenkomponen pendukung aplikasi, seperti hardware, software, storage dan network, availability-nya , karena semuanya diatur di dalam OLAs tetapi tidak dicatat dalam job desk. Tanpa adanya OLA Divisi TI hanya sebagai tool (alat bantu) dalam suatu bisnis. Tidak bertindak sebagai activator.Kurangnya deskripsi yang lebih detail tentang bagaimana layanan keamanan informasi akan diberikan, yang akan dinegosiasikan dan didefinisikan dalam organisasi TI. Rekomendasi : M enerapkan OLA sehingga Divisi TI tidak hanya bertindak sebagai tool (alat bantu) saja dalam suatu bisnis. Tetapi bertindak sebagai activator
dan perusahaan memiliki deskripsi yang lebih
detail tentang bagaimana layanan TI. DS 5 Ensure Systems Security Temuan : Tidaknya adanya jaminan dalam segregation of duty
dan
pembagiannya dengan jelas. Dampak Masalah : Fungsi tugas dan tanggung jawab setiap staf menjadi tidak jelas. Rekomendasi : M anajemen harus membuat pembagian tugas dan tanggung jawab menjadi baik. 4.Monitor And evaluate ME4 Provide IT Governance
330 Temuan : perusahaan tidak memperoleh jaminan independen (eksternal atau internal) tentang konfirmasi TI dengan peraturan dan hukum yang relevan, kebijakan organisasi, standard, dan prosedur, praktek yang berlaku umum, dan kinerja TI yang efektif dan efisien ? Dampak Masalah : Alat untuk mengukur manajemen TI terbatas dan angka pelanggaran/ toleransi yang diberikan kepada pimpinan cukup tinggi Rekomendasi : Adanya peninjuan kepatuhan independen TI, adanya frekuensi pelaporan TI kepada dewan(vice president) VI. S impulan PT. Tirta Investama menetapkan target pada perusahaan sebesar 4.50. Dari target tersebut diharapkan PT. Tirta Investama dapat memenuhi bahkan meningkatkan nilai dari target yang telah ditetapkan. Berikut ini adalah tabel dari hasil perhitungan kuesioner berdasarkan status saat ini dan target perusahaan, serta selisihnya (gap). Sekarang
Rata-rata kuisioner
Rata-rata PO 3.66
Target perusahaan
Gap
PO = 4
Gap pada PO 0.34
Rata-rata AI 3.62
Rata-rata kuesioner
AI = 4
PO+AI+DS+M E Rata-rata DS 4.081
4
Gap pada AI 0.38
DS = 4
Gap pada DS
331 =15.36 = 3.84
0
4
Rata-rata M E 4
ME = 4
Gap pada M E 0
Total Gap
0.72
Tabel 4.30: Perhitungan maturity level Berdasarkan hasil perhitungan tabel di atas, maturity level PT. Tirta Investama dapat digambarkan sebagai berikut : NonExistent
Intial / Ad Hoc
Repeatable but Intuitives
Defined Process
Managed and Measurable
Optimised
0
1
2
3
4
5
Keterangan: = Status PT. Tirta Investama saat ini. = Target PT. Tirta Investama. Gambar 4.1 : Maturity Model pada CobIT Sumber : ITGI-CobIT 4.1thed (2007,p18) Berdasarkan hasil maturity level di atas, dari proses yang telah dilakukan oleh manajemen perusahaan dalam menjalankan dan mengembangkan proses bisnisnya, PT. Tirta Investama, Jakarta berada pada posisi maturity level 3 (Defined Process) dengan nilai 3,84. M aka dapat ditarik kesimpulan antara lain 1. PT. Tirta Investama telah menggunakan sistem informasi yang sudah baik, dengan adanya SAP R/3.
332 2. Pengendalian dan pengelolaan sistem informasi pada PT. Tirta Investama, Jakarta sudah berjalan dengan baik. 3. Berdasarkan perhitungan maturity level yang dilakukan maka dapat diperoleh indeks rata-rata 3,84 ( level 3), hal ini berarti Terdefinisi (Definder Process) Kebutuhan akan adanya tata kelola TI telah disadari dan diketahui perusahaan. Sekumpulan aturan untuk indicator dasar tata kelola TI telah direncanakan. Hubungan antara ukuran hasil dan kinerja telah terdefinis i dengan jelas, tersedia dokumentasi dan terintegrasi dengan perencanaan strategi, operasional, dan pengawasan. Prosedur yang tersedia telah distandarisasi, didokumentasi dan diterapkan. Pihak manajemen telah mengkomunikasikan standar untuk prosedur dan pelatihan- pelatihan telah dilakukan secara informal. Namun implementasinya diserahkan pada setiap individu, sehingga kemungnkinan penyimpangan yang terjadi kadang tidak terdeteksi. Prosedur telah dikembangkan sebagai bentuk formalisasi dari praktek yang ada. Dan
menargetkan untuk mencapai level tingkat 4, yaitu Terkelola dan
Terukur (Managed and Measureable). Hal mengenai tata kelola TI telah dipahami oleh seluruh bagian dan didukung dengan adanya pelatihan secara formal. Pelayanan kepada pelanggan telah dipahami secara jelas dan diawasi dengan adanya kesepakatan pelayanan. Pembagian tanggung jawab sudah terbagi secara jelas. Proses dalam TI diselaraskan dengan kebutuhan bisnis dan strategi TI. Peningkatan terhadap proses TI didasarkan terutama atas ukuran yang telah ada dan memungkinkan dilakukannya pengawasan utnuk mengukur kesesuaian antara prosedur yang ada dengan proses yang
333 dilakukan. Semua pihak yang terlibat dalam proses memahami resiko, pentingnya TI, dan peluang yang dapat diciptakan oleh TI. 4. Setelah dilakukannya evaluasi, dapat disimpulkan bahwa PT. Tirta Investama telah memenuhi standard framework COBIT 4.1 yang dapat dilihat dari perbedaan selisih Gap yang kecil yaitu 0.16.
Jakarta, 21 November 2009
TimEvaluasi
