EVALUASI PENGENDALIAN SISTEM INFORMASI PERSEDIAAN PADA PT. VIESTA MANDIRI JAYA
Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia
Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia dan
Silvi Binus University, Jakarta, DKI Jakarta, Indonesia
Abstrak Penggunaan sistem informasi dalam kegiatan operasional perusahaan sangat berpengaruh agar perusahaan mampu bersaing dalam lingkungan bisnis yang kompetitif. Dengan adanya penggunaan sistem informasi dalam kegiatan operasional maka diperlukan juga adanya evaluasi terhadap sistem informasi yang berjalan untuk mengetahui seberapa jauh hasil yang telah dicapai dibandingkan dengan standar atau tujuan yang ingin dicapai oleh perusahaan. Tujuan dari penelitian ini adalah untuk melakukan evaluasi pengendalian sistem informasi persediaan yang sedang berjalan dan mengidentifikasikan kelemahan yang ada pada PT. Viesta M andiri Jaya berdasarkan internal perspective serta menilai tingkat kematangan perusahaan menurut Maturity Model CobIT. M etode penelitian yang digunakan oleh penulis adalah metode studi kepustakaan dan metode studi lapangan. Hasil yang dicapai dalam penelitian ini adalah hasil evaluasi berupa temuan masalah dan rekomendasi yang dijadikan sebagai laporan evaluasi, dan memberikan gambaran mengenai pengendalian yang telah dilakukan dan kelemahan dari pengendalian tersebut. Dari evaluasi yang sudah dilakukan, diketahui bahwa sistem informasi persediaan pada PT. Viesta M andiri Jaya mampu mendukung kinerja perusahaan secara keseluruhan, namun masih terdapat kelemahan-kelemahan dalam sistem. Pada saat ini, tingkat kematangan perusahaan berada pada level 2 Repeatable but Intuitive menurut Maturity Model CobIT. Kata kunci : Evaluasi, Pengendalian, Persediaan, Sistem Informasi 1
1.
Pendahuluan
1.1
Latar Belakang Perkembangan sistem informasi yang pesat telah mempengaruhi seluruh aspek kehidupan
manusia, terutama pada kegiatan operasional perusahaan agar mampu bersaing dalam lingkungan bisnis yang kompetitif. Untuk mendukung kegiatan operasionalnya, perusahaan membutuhkan informasi yang relevan dan akurat. Sehingga dewasa ini, tidak sedikit perusahaan yang melakukan penerapan sistem informasi terkomputerisasi demi meningkatkan efektifitas dan efisiensi dalam mengelola informasi perusahaan. Dengan pengunaan sistem informasi yang strategis, perusahaan tidak hanya meningkatkan efektifitas dan efisiensi tetapi juga akan memperoleh keuntungan kompetitif terutama dalam memperoleh dan mengelola informasi yang tepat dan akurat untuk mempermudah proses pengambilan keputusan. Akan tetapi, penggunaan teknologi informasi ini harus disertai dengan pengendalian untuk memastikan sistem informasi yang ada sesuai dengan prosedur yang telah ditetapkan untuk mendukung pencapaian tujuan perusahaan. Oleh karena itu, sistem informasi yang digunakan sebaiknya memiliki mekanisme pengendalian internal (internal control). Penerapan mekanisme pengendalian ini dapat diwujudkan dengan melakukan evaluasi secara periodik. Evaluasi menjadi sangat dibutuhkan untuk menilai kinerja suatu sistem informasi. Hal ini untuk menghindari terjadinya kesalahan baik yang disebabkan oleh pengguna maupun pada perangkat sistem informasi tersebut yang akan berdampak pada kinerja perusahaan.
1.2
Ruang Lingkup Ruang lingkup dari penelitian adalah mencakup evaluasi dan perhitungan Maturity Level
pada sistem informasi persediaan pada PT. Viesta M andiri Jaya. Adapun pembahasan yang dilakukan meliputi sebagai berikut: 2
1.
Evaluasi terhadap sistem informasi persediaaan PT. Viesta M andiri Jaya menggunakan pendekatan CobIT (Control Objectives for Information and Related Technology) sebagai standar evaluasi sistem informasi.
2.
Perspective IT Balance Scorecard berdasarkan teori CobIT versi 4.1 dengan menggunakan internal perspective.
3.
Perhitungan maturity level pengendalian pada PT. Viesta M andiri Jaya berdasarkan Information Systems Control Journal vol. 3 tahun 2003: The CobIT Maturity Model in a Vendor Evaluation Case oleh Andrea Pederiva.
2.
Landasan Teori
2.1
CobIT (Control Objectives for Information and Related Technology) M enurut Gondodiyoto (2009, p163), CobIT adalah sekumpulan dokumentasi best
practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat memanfaatkan guidelines dengan baik. M enurut Gondodiyoto (2007, p279), kerangka kerja CobIT terdiri dari beberapa arahan (guidelines), yakni : 1.
Control Objectives Terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu: a.
Perencanaan dan Organisasi (Planning and Organization) Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi teknologi informasi yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan
3
bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari berbagai perspektif). b.
Perolehan dan Implementasi (Acquisition and Implementation) Domain ini untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan teknologi informasi, diidentifikasi, dikembangkan atau diimplementasikan secara terpadu dalam proses bisnis perusahaan.
c.
Penyerahan dan Pendukung (Delivery and Support) Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).
d.
Monitoring and Evaluating Domain ini mencakup semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
2.
Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan saran perbaikan.
3.
Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan.
4
Gambar 2.1 CobIT Processes Defined Within the Four Domains Sumber : ITGI-CobIT 4.1th edition (2007, p26)
2.2
Maturity Model Maturity model pada CobIT digunakan untuk menentukan pilihan strategi yang akan
digunakan dan melakukan perbandingan dengan standar yang ada. Maturity model pada CobIT digunakan untuk membantu manajemen dalam mengidentifikasi hal-hal sebagai berikut:
5
1.
Kinerja yang sebenarnya pada organisasi, untuk melihat posisi organisasi saat ini
2.
Status industri pada saat ini, sebagai bahan pertimbangan
3.
Target perusahaan untuk pengembangan lebih lanjut, yaitu menyatakan level yang ingin dicapai oleh perusahaan
4.
Pertumbuhan yang diperlukan saat ini dan yang akan datang Maturity model pada CobIT terdapat enam level penilaian seperti gambar berikut:
Gambar 2.2 Matu rity Model pada CobIT th Sumber : ITGI CobIT 4.1 edition (2007, p18)
Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model secara umum seperti di bawah ini: 1.
Level 0 Non-existent Tahap yang paling awal, masih pemula (belum mapan). Proses manajemen tidak ada sama sekali, komputerisasi dilaksanakan secara ilmiah, tidak diimplementasikan berdasarkan suatu metodologi yang tepat. M isalnya perusahaan menggunakan komputer tetapi hanya untuk pengetikan atau pembuatan tabel-tabel laporan yang belum terarah dan dilakukan secara amatiran. Artinya sudah menggunakan komputer, tetapi belum menjalankan sistem berbasis komputerisasi.
6
2.
Level 1 Initial/Ad Hoc Pada tahap ini sudah mulai ada kegiatan penyusunan sistem komputerisasi yang lebih terorganisir/terarah, tetapi perencanaan, perancangan, dan proses masih bersifat ad-hoc dan tidak terorganisir dengan baik.
3.
Level 2 Repeatable but Intuitive Pada tahap ini, proses perencanaan, perancangan, dan implementasi sistem berbasis komputer telah menemukan pola yang lebih terarah, berjalan dengan pola yang sama (mulai mengenal “metodologi” pengembangan sistem).
4.
Level 3 Defined Process Pada tahap ini, seluruh proses telah didokumentasikan dan telah dikomunikasikan dan dilaksanakan berdasarkan metoda pengembangan sistem komputerisasi yang baik.
5.
Level 4 Managed and Measurable Pada tahap ini, proses komputerisasi telah dapat dimonitor dan terukur dengan baik, manajemen proyek pengembangan sistem komputerisasi sudah dijalankan dengan lebih terorganisir.
6.
Level 5 Optimised Pada tahap ini, best practices telah diikuti dan diotomatisasi pada sistem berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat. M enurut Pederiva (2003), “The CobIT Maturity Model in a Vendor Evaluation Case”,
Information Systems Control Journal vol. 3, perhitungan maturity level menggunakan kuesioner yang berdasarkan pada kriteria Maturity Level CobIT. Kuesioner yang digunakan terdiri atas pertanyaan serta 4 jawaban yang masing-masing memiliki nilai sebagai berikut:
7
Compliance Level Numeric Values Agreement with Statement
Compliance Value
Not at all
0
A little
0.33
Quite a lot
0.66
Completely
1
Tabel 2.1 Compliance Level Numeric Values Sumber : Pederiva (2003, p2)
3.
Pembahasan
3.1
Gambaran Umum Perusahaan PT. Viesta M andiri Jaya adalah perusahaan yang didirikan oleh Bapak Kuswadi Gunawan
pada tanggal 8 Agustus 2005 yang berlokasi di Jl. Husein Sastranegara No 25, Tangerang. PT. Viesta M andiri Jaya bergerak di bidang distribusi sandal dan sepatu dengan merek Vi & Vie.
3.2
Struktur Organisasi Perusahaan
8
3.3
Hasil Evaluasi
3.3.1 Hasil Perhitungan Kuesioner 1.
Domain Plan and Organize (PO)
2.
Domain Acquire and Implement (AI)
9
3.
Domain Deliver and Support (DS )
4.
Domain Monitor and Evaluate (ME)
10
PT. Viesta M andiri Jaya menetapkan target pada perusahaannya sebesar 3.00. Dari target tersebut diharapkan PT. Viesta M andiri Jaya dapat memenuhi bahkan meningkatkan nilai dari target yang ditetapkan. Berikut ini merupakan tabel dari hasil perhitungan kuesioner, berdasarkan status perusahaan saat ini, target perusahaan dan selisihnya (gap). Sekarang
Rata-rata Kuesioner
PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50 Rata-rata PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93 AI7 = 2.43 Rata-rata AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55 Rata-rata DS 2.43 M E1 = 2.15 M E2 = 1.85 M E3 = 1.73 M E4 = 1.91 Rata-rata ME 1.91
Target Perusahaan
Gap
PO = 3.00
Gap pada PO 0.44
AI = 3.00
Gap pada AI 0.69
DS = 3.00
Gap pada DS 0.57
M E = 3.00
Gap pada M E 1.09
Rata-rata Kuesioner PO+AI+DS+M E 4 = 9.21 = 2.30 4
Total Gap rata-rata
0.70
Tabel 3.1 Gap antara Target dan S tatus Perusahaan
11
Dari tabel di atas maka dapat diketahui bahwa saat ini perusahaan belum mencapai target yang telah ditetapkan. Terdapat gap antara status perusahaan saat ini dengan targetnya yaitu sebesar 0.70. 3.3.2 Hasil Checklist Berdasarkan evaluasi yang dilakukan terdapat hasil berupa temuan-temuan yang bersifat positif dan negatif. Berikut adalah hasil temuan dari pelaksanaan evaluasi yang bersifat negatif beserta rekomendasi atas temuan-temuan yang ada: 1.
Domain Plan and Organize (PO) Temuan 1 Anggaran biaya teknologi infomasi pada perusahaan bukan merupakan prioritas utama bagi perusahaan. Rekomendasi Perusahaan sebaiknya lebih memprioritaskan biaya teknologi informasi pada rencana anggaran perusahaan. Temuan 2 Kebijakan dan prosedur pada perusahaan masih belum terdokumentasi dan dikomunikasikan kepada seluruh personil. Rekomendasi Perusahaan sebaiknya melakukan pendokumentasian terhadap kebijakan dan prosedur dan dikomunikasikan kepada seluruh personil. Temuan 3 Perusahaan masih memiliki ketergantungan terhadap individu tertentu.
12
Rekomendasi Perusahaan sebaiknya meminimalkan ketergantungan terhadap individu tertentu dengan melakukan peralihan pengetahuan dan dokumentasi pengetahuan. 2.
Domain Acquire and Implement (AI) Temuan 1 Perusahaan belum melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis perusahaan. Rekomendasi Perusahaan sebaiknya melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis perusahaan. Temuan 2 Perusahan telah menetapkan prosedur dan standar terhadap perubahan pada aplikasi, prosedur, proses dan sistem, tetapi belum dilakukan dokumentasi terhadap prosedur dan standar. Rekomendasi Sebaiknya perusahaan melakukan dokumentasi terhadap prosedur dan standar perubahan pada aplikasi, prosedur, proses dan sistem.
3.
Domain Deliver and Support (DS ) Temuan 1 Perusahaan belum melakukan perencanaan kinerja dan kapasitas sumber daya teknologi informasi untuk ke depannya masih belum terorganisir.
13
Rekomendasi Sebaiknya perusahaan melakukan perencanaan kinerja dan kapasitas sumber daya teknologi informasi untuk ke depannya secara terorganisir. Temuan 2 Perusahaan belum melakukan peninjauan terhadap integritas data konfigurasi. Rekomendasi Sebaiknya perusahaan melakukan peninjauan terhadap integritas data konfigurasi untuk meningkatkan operasional manajemen. Temuan 3 Perusahaan belum melakukan pengawasan terhadap hardware dann software secara rutin. Rekomendasi Perusahaan sebaiknya melakukan pengawasan terhadap hardware dann software secara rutin. 4.
Domain Monitor and Evaluate (ME) Temuan 1 Perusahaan belum melakukan proses pelaporan atas penerapan standar dan prosedur yang sesuai dengan hukum dan regulasi tentang kebutuhan eksternal. Rekomendasi Perusahaan sebaiknya melakukan pelaporan terhadap penerapan standar dan prosedur yang telah disesuaikan dengan hukum dan regulasi.
14
Temuan 2 Perusahaan belum memperoleh konfirmasi peraturan yang sesuai dengan kebijakan, standar, dan prosedur yang ditetapkan oleh perusahaan. Perusahaan juga belum melakukan pelaporan atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu. Rekomendasi Perusahaan sebaiknya berusaha untuk memperoleh konfirmasi peraturan yang sesuai dengan kebijakan, standar, dan prosedur yang ditetapkan oleh perusahaan. Serta melakukan pelaporan atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu.
4.
Kesimpulan Berdasarkan hasil evaluasi yang telah dilakukan terhadap pengendalian sistem informasi
pada PT. Viesta M andiri Jaya dengan menggunakan standar audit sistem informasi CobIT pada internal perspective, maka disimpulkan bahwa sistem informasi persediaan pada PT. Viesta M andiri Jaya masih pada tahap perkembangan, sehingga terdapat beberapa kelemahan-kelemahan seperti ketergantungan kepada individu tertentu dan belum adanya dokumentasi atas kebijakan dan prosedur. Namun, pengelolaan keamanan teknologi informasi pada PT. Viesta M andiri Jaya sudah cukup baik, hal ini dapat dilihat dari adanya penerapan user account, antivirus dan membatasi hak akses pengguna serta memperhatikan lingkungan fisik teknologi informasi. Pengendalian sistem informasi persediaan pada PT. Viesta M andiri Jaya berada pada level 2 berdasarkan perhitungan maturity level. Level 2 berarti tingkat kematangan sistem yang dimiliki perusahaan bersifat Repeatable but Intuitive, dimana proses telah menggunakan pola yang sama, namun prosedurnya belum distandarisasi, didokumentasikan dan dikomunikasikan.
15
CONTROL EVALUATION OF INVENTORY INFORMATION SYSTEM AT PT. VIESTA MANDIRI JAYA
Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia
Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia
and
Silvi Binus University, Jakarta, DKI Jakarta, Indonesia
Abstract The purpose of the research is for evaluating inventory information system control at PT. Viesta M andiri Jaya and identifying the weakness of the inventory information system based on the internal perspective. In addition, we also assess the maturity level of company based on M aturity M odel CobIT. The research method that we used is literature study method and field study method. Literature study method is a method that is done by reading and learning the books and others resources to support the research. Field study method is a method that is done by observation, interview, questionnaire, and checklist. The result from the research is problem findings and recommendations which are constructed into evaluation report. It also provides the description about the information system control and the weakness of the information system control. From the evaluation, it is discovered that the inventory information system control at PT. Viesta M andiri Jaya is able to support the corporation’s performance entirely. However, there are some weaknesses from the information systems. At this time, the maturity level of corporation is at level 2 Repeatable but Intuitive based on M aturity Model CobIT. Keywords: Control, Evaluation, Information System, Inventory
1
1.
Introduction
1.1
Background The rapid development of information system has affected all aspects of human life,
especially in the company's operations in order to compete in a competitive business environment. To support its operations, the company requires relevant and accurate information. Today, not a few companies that make the application of computerized information system to improve
effectiveness
and
efficiency
in
managing
enterprise
information.
By using the strategic information system, companies not only improve the effectiveness and efficiency but also will gain a competitive advantage, especially in acquiring and managing the timely and accurate information to facilitate decision-making process. However, the use of information technology should be accompanied by controls to ensure that existing information system in accordance with established procedures to support the achievement of corporate goals. Therefore, the information system used should have a mechanism of internal control. The application of this control mechanism can be realized by performing periodic evaluation. Evaluation becomes indispensable to assess the performance of information system. This is to avoid the occurrence of errors whether caused by users on the systems and the information that will impact on company performance.
1.2
Scope The scope of research includes the evaluation and calculation of the M aturity Level on
inventory information system at PT. Viesta M andiri Jaya. The discussion is including: 1.
Evaluation of inventory information system at PT. Viesta M andiri Jaya using the COBIT (Control Objectives for Information and Related Technology) theory as the standard of information system evaluation.
2
2.
IT Balanced Scorecard Perspective is based on the theory of COBIT version 4.1 by using the internal perspective.
3.
The calculation of the maturity level of control at PT. Viesta M andiri Jaya based on Information Systems Control Journal, Vol. 3, 2003: The COBIT M aturity Model in a Vendor Evaluation Case by Andrea Pederiva.
2.
Lite rature Review According to Gondodiyoto (2009, p163), COBIT is a set of documentation of best
practices for IT governance that is used to help the auditor, the user, and management, to bridge the
gap
between
business
risks,
control
needs
and
technical
issues
of
IT.
COBIT provides guidelines oriented to the business and therefore business process owners and managers, including auditors and users, are expected to use the guidelines as well. According to Gondodiyoto (2007, p279), COBIT framework consists of several guidelines: 1.
Plan and Organise (PO) This domain covers strategy and tactics, and concerns the identification of the way IT can best contribute to the achievement of the business objectives. The realisation of the strategic vision needs to be planned, communicated and managed for different perspectives. A proper organisation as well as technological infrastructure should be put in place. This domain typically addresses the following management questions: •
Are IT and the business strategy aligned?
•
Is the enterprise achieving optimum use of its resources?
•
Does everyone in the organisation understand the IT objectives?
•
Are IT risks understood and being managed?
•
Is the quality of IT systems appropriate for business?
3
2.
Acquire and Implement (AI) To realise the IT strategy, IT solutions need to be identified, developed or acquired, as well as implemented and integrated into the business process. In addition, changes in and maintenance of existing systems are covered by this domain to make sure the solutions continue to meet business objectives. This domain typically addresses the following management questions:
3.
•
Are new projects likely to deliver solutions that meet business needs?
•
Are new projects likely to be delivered on time and within budget?
•
Will the new systems work properly when implemented?
•
Will changes be made without upsetting current business operations?
Deliver and S upport (DS ) This domain is concerned with the actual delivery of required services, which includes service delivery, management of security and continuity, service support for users, and management of data and operational facilities. It typically addresses the following management questions: •
Are IT services being delivered in line with business priorities?
•
Are IT costs optimised?
•
Is the workforce able to use the IT systems productively and safely?
•
Are adequate confidentiality, integrity and availability in place for information security?
4.
Monitor and Evaluate (ME) All IT processes need to be regularly assessed over time for their quality and compliance with control requirements. This domain addresses performance management, monitoring of internal control, regulatory compliance and governance. It typically addresses 4
the following management questions: •
Is IT’s performance measured to detect problems before it is too late?
•
Does management ensure that internal controls are effective and efficient?
•
Can IT performance be linked back to business goals?
•
Are adequate confidentiality, integrity and availability controls in place for information security?
Picture 2.1 CobIT Processes Defined Within the Four Domains Resource : ITGI-CobIT 4.1th edition (2007, p26) 5
2.2
Maturity Model The COBIT M aturity Model is an IT governance tool used to measure how well
developed the management processes are with respect to internal controls. The maturity model allows an organization to grade itself from nonexistent (0) to optimized (5). Such capability can be exploited by auditors to help man-agement fulfill its IT governance responsibilities, for example: exercise effective responsibility over the use of IT just like any other part of the business. A fundamental feature of the maturity model is that it allows an organization to measure as-is maturity levels, and define to-be maturity levels as well as gaps to fill. As a result, an organization can discover practical improvements to the system of internal controls of IT. However, maturity levels are not a goal, but rather they are a means to evaluate the adequa-cy of the internal controls with respect to company business objectives. COBIT maturity model has six levels of assessment as shown below:
Gambar 2.2 Matu rity Model pada CobIT Sumber : ITGI CobIT 4.1th edition (2007, p18) Each process on the scale of assessments is based on the COBIT maturity model descriptions are generally as follows: 6
1.
Level 0 Non-existent Complete lack of any recognisable processes. The enterprise has not even recognised that there is an issue to be addressed.
2.
Level 1 Initial/Ad Hoc There is evidence that the enterprise has recognised that the issues exist and need to be addressed. There are, however, no standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case-by-case basis. The overall approach to management is disorganised.
3.
Level 2 Repeatable but Intuitive Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely.
4.
Level 3 Defined Process Procedures have been standardised and documented, and communicated through training. It is mandated that these processes should be followed; however, it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices.
5.
Level 4 M anaged and M easurable M anagement monitors and measures compliance with procedures and takes action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.
6.
Level 5 Optimised Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other enterprises. IT is used in an integrated way 7
to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt. According to Pederiva (2003), "The COBIT M aturity M odel in a Vendor Evaluation Case", Information Systems Control Journal, Vol. 3, the calculation of the maturity level used a questionnaire based on the criteria of COBIT M aturity Level. The questionnaire used consisted of question and four answers, each of which has a value as follows: Compliance Level Numeric Values Agreement with Statement
Compliance Value
Not at all
0
A little
0.33
Quite a lot
0.66
Completely
1
Table 2.1 Compliance Level Numeric Values Resource : Pederiva (2003, p2)
3.
Discussion
3.1
Company Profile PT. Viesta M andiri Jaya is a company that is established by M r. Gunawan Kuswadi in
August 8, 2005. It is located at Jl. Husein Sastranegara No 25, Tangerang. PT. Viesta Jaya M andiri is engaged in the distribution of brand sandals and shoes with Vi & Vie.
8
3.2
Organizational Structure
3.3
Evaluation Result
3.3.1 Calculation Result of Questioner 1.
Domain Plan and Organize (PO)
9
2.
Domain Acquire and Implement (AI)
3.
Domain Deliver and S upport (DS )
10
4.
Domain Monitor and Evaluate (ME)
PT. Viesta M andiri Jaya has set a target by 3:00. From the target, it is expected to PT. Viesta M andiri Jaya can satisfy even increase the value of the target that is set. Here is a table of calculation results of questioner based on the current status of the company, the company’s target and gap between both of them. Company’s Current S tatus PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50 Average PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93
Questioner Average
Company‘s Target
Gap
PO = 3.00
Gap for PO 0.44
AI = 3.00
Gap for AI 0.69
Questioner Average PO+AI+DS+M E 4 = 9.21 = 2.30 4
11
AI7 = 2.43 Average AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55 Average DS 2.43 M E1 = 2.15 M E2 = 1.85 M E3 = 1.73 M E4 = 1.91 Average ME 1.91
DS = 3.00
Gap for DS 0.57
M E = 3.00
Gap forM E 1.09
Total Gap Average
0.70
Table 3.1 Gap between The Company ‘sTarget and The Company’s Current Status From the table above it is known that currently the company has not achieved the set targets. There is gap between the company's current status with a target that is equal to 0.70. 3.3.2 Checklist Result Based on the evaluation result, there are positive and negative findings. Here is the result of the implementation of negative evaluation and the recommendations on the existing findings: 1.
Domain Plan and Organize (PO) Finding 1 The budget for the is not priority for the company. Recommendation Company should increase the priority on information technology cost in the company's budget plan.
12
Finding 2 Policies and procedures at the company still has not been documented and communicated to all personnel. Recommendation Companies should make documentation of policies and procedures and communicated to all personnel. Finding 3 The company still has dependency on particular individual. Recommendation Companies should minimize reliance on certain individual by doing the transition to the knowledge and documentation of knowledge. 2.
Domain Acquire and Implement (AI) Finding 1 The company has not made the risk analysis report related to company business needs. Recommendation Company should conduct risk analysis related to reporting to the company's business needs. Finding 2 The company has established procedures and standards for changes to applications, procedures, processes and system, but have not done the documentation of the procedures and standards.
13
Recommendation We recommend that company to do documentation of the procedures and standards changes in the application, procedures, processes and system. 3.
Domain Deliver and Support (DS ) Finding 1 The company has not made the performance and capacity planning information technology resources for the future is still not organized. Recommendation We recommend that company to conduct capacity planning and performance of information technology resources for the future in an organized manner. Finding 2 The company has not made a review of the integrity of configuration data. Recommendation Company should conduct a review of the integrity of configuration data to improve operations management. Findings 3 The company has not made oversight of hardware and software on a regular basis. Recommendation The company should carry out supervision of hardware and software regularly.
14
4.
Domain Monitor and Evaluate (ME) Finding 1 The company has not made the process of reporting on the implementation of standards and procedures in accordance with the laws and regulations on external demand. Recommendation Companies should be reporting on the implementation of standards and procedures that have been adapted to the laws and regulations. Finding 2 The company has not obtained confirmation of regulations in accordance with policies, standards, and procedures established by the company. The company also has not made the reporting of performance measurement information technology to accurately and timely. Recommendation The company should seek to obtain confirmation of regulations in accordance with policies, standards, and procedures established by the company. And reporting on information technology performance measurements are accurate and timely.
15
4.
Conclusion Based on the result of the evaluation that is done to control the information system at PT.
Viesta M andiri Jaya using COBIT information systems auditing standard on internal perspective, it was concluded that the inventory information system at PT. Viesta M andiri Jaya still at the stage of development, so there are some weaknesses such as dependence on particular individuals and the absence of documentation of policies and procedures. However, information technology security management at PT. Viesta M andiri Jaya is good enough, it can be seen from the application of user accounts, antivirus and restrict user access rights and with regard to the physical environment of information technology. Inventory control information system at PT. Viesta M andiri Jaya is at maturity level 2 is based on the calculation level. Level 2 means the level of maturity of the company's systems are Repeatable but Intuitive, where the process has used the same pattern, but the procedure has not been standardized, documented and communicated.
16
REFERENCES IT Governance Institute. (2007). CobIT 4.1th ed. Framework, Control Objectives, M anagement Guidelines and M aturity M odel. ITGI, USA. Pederiva, Andrea. (2003). The CobIT M aturity Model in a Vendor Evaluation Case. Infomation Systems Control Journal, 3. Sanyoto Gondodiyoto. (2009). Pengendalian Fungsi Audit Sistem Informasi + Contoh Audit Charter. Edisi 2. M itra Wacana M edia, Jakarta. Sanyoto Gondodiyoto. (2007). Audit Sistem Informasi + Pendekatan CobIT. Edisi Revisi. M itra Wacana M edia, Jakarta.
17
