BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA S BU PERBERAS AN PT. PERTANI. 4.1 Rencana Kerja Evaluasi

Transkripsi

1 BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA S BU PERBERAS AN PT. PERTANI 4.1 Rencana Kerja Evaluasi Proses evaluasi dilakukan terhadap sistem informasi penjualan yang ada di perusahaan. Evaluasi ini diawali dengan membuat sebuah kerangka kerja yang berisi metrik mengenai penjelasan perencanaan yang akan dilakukan untuk memperoleh datadata yang dibutuhkan dengan berbagai teknik yang digunakan. Aktivitas Hasil Yang Diperoleh Metode Mendapatkan perusahaan yang Observasi. paling potensial untuk dilakukan proses evaluasi. Melakukan pengajuan proposal ke beberapa perusahaan untuk dilakukan evaluasi sistem informasinya. Membuat surat permohonan survei Mengkonsultasikan dengan pihak perusahaan mengenai sistem informasi yang cocok untuk dievaluasi. Mengamati dan meminta profile perusahaan dan struktur oganisasi. Menganalisa proses bisnis sistem berjalan yang terdapat di dalam perusahaan Mengamati dan meminta spesifikasi arsitektur sistem informasi yang digunakan, serta tampilan layar aplikasi yang ada. Membuat dan mengajukan daftar pertanyaan kepada perusahaan terkait dengan business goals yang dievaluasi. Mendapatkan persetujuan survei dari PT. Pertani Menentukan sistem informasi penjualan sebagai sistem inform asi yang akan dievaluasi. Mendapatkan profil e perusahaan beserta akte notaris, gambar struktur organisasi serta uraian tugas dan fungsi dari tiap-tiap divisi. Memperoleh gambaran sistem berjalan perus ahaan, serta dokumen-dokumen yang terkait. Mengetahui spesi fikasi hardware, software, database, dan network yang digunakan. Serta memperoleh print screen tampilan layar aplikasi yang ada. Mendapatkan jawaban berupa data dan informasi mengenai kondisi perusahaan. 144 Menyerahkan surat pengant ar survei dari universitas kepada staff divisi Sumber Daya Manusia (SDM) Wawancara Observasi, wawancara Observasi, wawancara Observasi, wawancara, dan melakukan login dengan menggunakan ID staf yang bersangkutan Observasi, checklist, kuesioner dan Wawancara.

2 145 Melakukan perhitungan, analisa, dan evaluasi berdasarkan jawaban dari pertanyaan yang diberikan. Membuat rekomendasi atas temuan-temuan yang dianggap tidak sesuai dengan standar CobIT. Membuat laporan evaluasi. Penentuan maturity level, hasil perhitungan, analisa dan evaluasi dengan masing-masing bagian yang terkait. Menghasilkan rekomendasi dan masukan yang berguna kepada perusahaan untuk dilakukan perbaikan. Menghasilkan laporan evaluasi beserta temuan dan rekomendasi. Analisa data, perhitungan maturity level. Analisa data. Analisa data. Tabel 4.1 Tabel Rencana Kerja Evaluasi 4.2 Kriteria Pengukuran Evaluasi Dasar penentuan pengukuran pengendalian sistem informasi penjualan pada SBU Perberasan di PT. Pertani adalah pada hubungan antara tujuan pemanfaatan TI dalam mendukung tujuan bisnis secara keseluruhan. CobIT 4.1 membedakan pengukuran atau penilaian menjadi 4 bagian, yaitu financial perspective, customer perspective, internal perspective, learning and growth perspective. PT. Pertani dalam kegiatan proses bisnisnya selalu memprioritaskan untuk dapat memberikan pelayanan terbaik serta tingkat kepuasan pelanggan akan produk dan pelayanan yang diberikan. Oleh karena itu, metode pengukuran yang sesuai dengan prinsip perusahaan adalah menggunakan customer perspective. Dimana customer perspective ini memiliki beberapa business goals yang harus dicapai. Diantaranya : 1. Plan and Organise (PO) a. PO 1 Define a Strategic IT Plan PO1.1 IT Value Management PO1.2 Business-IT Alignment PO1.3 Assessment of Current Capability and Performance PO1.4 IT Strategic Plan

3 146 PO1.5 IT Tactical Plans PO1.6 IT Portfolio Management b. PO 2 Define the Information Architecture PO2.1 Enterprise Information Architecture Model PO2.2 Enterprise Data Dictionary and Data Syntax Rules PO2.3 Data Classification Scheme PO2.4 Integrity Management c. PO 3 Determine Technological Direction PO3.1 Technological Direction Planning PO3.2 Technological Infrastructure Plan PO3.3 Monitor Future Trends and Regulations PO3.4 Technology Standards PO3.5 IT Architecture Board d. PO 4 Define the IT Processes, Organisation, and Relationships PO4.1 IT Process Framework PO4.2 IT Strategy Committee PO4.3 IT Steering Committee PO4.4 Organisational Placement of the IT Function PO4.5 IT Organisational Structure PO4.6 Establishment of Roles and Responsibilities PO4.7 Responsibility for IT Quality Assurance PO4.8 Responsibility for Risk, Security, and Compliance PO4.9 Data and System Ownership PO4.10 Supervision

4 147 PO4.11 Segregation of Duties PO4.12 IT Staffing PO4.13 Key IT Personnel PO4.14 Contracted Staff Policies and Procedures PO4.15 Relationships e. PO 6 Communicate Management Aims and Directions PO6.1 IT Policy and Control Environment PO6.2 Enterprise IT Risk and Control Framework PO6.3 IT Policies Management PO6.4 Policy, Standard and Procedures Rollout PO6.5 Communication of IT Objectives and Direction f. PO 7 Manage IT Human Resources PO7.1 Personnel Recruitment and Retention PO7.2 Personnel Competencies PO7.3 Staffing of Roles PO7.4 Personnel Training PO7.5 Dependence Upon Individuals PO7.6 Personnel Clearance Procedures PO7.7 Employee Job Performance Evaluation PO7.8 Job Change and Termination g. PO 8 Manage Quality PO8.1 Quality Management System PO8.2 IT Standards and Quality Practices PO8.3 Development and Acquisition Standards

5 148 PO8.4 Customer Focus PO8.5 Continuous Improvement PO8.6 Quality Measurement, Monitoring and Review 2. Acquire and Implement (AI) a. AI 1 Identify Automated Solutions AI1.1 Definition and Maintenance of Business Functional and Technical Requirements AI1.2 Risk Analysis Report AI1.3 Feasibility Study and Formulation of Alternative Courses of Action AI1.4 Requirements and Feasibility Decision and Approval b. AI 2 Acquire and Maintain Application Software AI2.1 High-Level Design AI2.2 Detailed Design AI2.3 Application Control and Auditability AI2.4 Application Security and Availability AI2.5 Configuration and Implementation of Acquired Application Software AI2.6 Major Upgrades to Existing Systems AI2.7 Development of Application Software AI2.8 Software Quality Assurance AI2.9 Applications Requirements Management AI2.10 Application Software Maintenance

6 149 c. AI 3 Acquire and Maintain Technology Infrastructure AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Availability AI3.3 Infrastructure Maintenance AI3.4 Feasibility Test Environment d. AI 4 Enable Operation and Use AI4.1 Planning for Operational Solutions AI4.2 Knowledge Transfer to Business Management AI4.3 Knowledge Transfer to End Users AI4.4 Knowledge Transfer to Operations and Support Staff e. AI 5 Procure IT Resources AI5.1 Procurement Control AI5.2 Supplier Contract Management AI5.3 Supplier Selection AI5.4 IT Resources Acquisition f. AI 6 Manage Changes AI6.1 Change Standards and Procedures AI6.2 Impact Assessment, Prioritisation and Authorisation AI6.3 Emergency Changes AI6.4 Change Status Tracking and Reporting AI6.5 Change Closure and Documentation g. AI 7 Install and Accredit Solutions and Changes AI7.1 Training AI7.2 Test Plan

7 150 AI7.3 Implementation Plan AI7.4 Test Environment AI7.5 System and Data Conversion AI7.6 Testing of Changes AI7.7 Final Acceptance Test AI7.8 Promotion to Production AI7.9 Post-Implementation Review 3. Deliver and Support (DS) a. DS 1 Define and Manage Service Levels DS1.1 Service Level Management Framework DS1.2 Definition of Services DS1.3 Service Level Agreements DS1.4 Operating Level Agreements DS1.5 Monitoring and Reporting of Service Level Achievement DS1.6 Review of Service Level Agreement and Contracts b. DS 2 Manage Third-Party Services DS2.1 Identification of All Supplier Relationships DS2.2 Supplier Relationship Management DS2.3 Supplier Risk Management DS2.4 Supplier Performance Monitoring c. DS 3 Manage Performance and Capacity DS3.1 Performance and Capacity Planning DS3.2 Current Performance and Capacity DS3.3 Future Performance and Capacity

8 151 DS3.4 IT Resources Availability DS3.5 Monitoring and Reporting d. DS 4 Ensure Continuous Service DS4.1 IT Continuity Framework DS4.2 IT Continuity Plans DS4.3 Critical IT Resources DS4.4 Maintenance of the IT Continuity Plan DS4.5 Testing of the IT Continuity Plan DS4.6 IT Continuity Plan Training DS4.7 Distribution of the IT Continuity Plan DS4.8 IT Services Recovery and Resumption DS4.9 Offsite Backup Storage DS4.10 Post-Resumption Review e. DS 5 Ensure Systems Security DS5.1 Management of IT Security DS5.2 IT Security Plan DS5.3 Identify Management DS5.4 User Account Management DS5.5 Security Testing, Surveillance and Monitoring DS5.6 Security Incident Definition DS5.7 Protection of Security Technology DS5.8 Cryptographic Key Management DS5.9 Malicious Software Prevention, Detection and Correction DS5.10 Network Security

9 152 DS5.11 Exchange of Sensitive Data f. DS 6 Identify and Allocate Costs DS6.1 Definition of Services DS6.2 IT Accounting DS6.3 Cost Modeling and Charging DS6.4 Cost Model Maintenance g. DS 7 Educate and Train Users DS7.1 Identification of Education and Training Needs DS7.2 Delivery of Training and Education DS7.3 Evaluation of Training Received h. DS 8 Manage Service Desk and Incidents DS8.1 Service Desk DS8.2 Registration of Customer Queries DS8.3 Incident Escalation DS8.4 Incident Closure DS8.5 Reporting and Trend Analysis i. DS 10 Manage Problems DS10.1 Identification and Classification of Problems DS10.2 Problem Tracking and Resolution DS10.3 Problem Closure DS10.4 Integration of Configuration, Incident and Problem Management j. DS 11 Manage Data DS11.1 Business Requirements for Data Management DS11.2 Storage and Retention Arrangements

10 153 DS11.3 Media Library Management Systems DS11.4 Disposal DS11.5 Backup and Restoration DS11.6 Security Requirements for Data Management k. DS 12 Manage the Physical Environment DS12.1 Site Selection and Layout DS12.2 Physical Security Measures DS12.3 Physical Access DS12.4 Protection Against Environmental Factors DS12.5 Physical Facilities Management l. DS 13 Manage Operations DS13.1 Operation Procedures and Instructions DS13.2 Job Scheduling DS13.3 IT Infrastructure Monitoring DS13.4 Sensitive Documents and Output Devices DS13.5 Preventive Maintenance for Hardware 4. Monitoring and Evaluate (ME) a. ME 1 Monitor and Evaluate IT Performance ME1.1 Monitoring Approach ME1.2 Definition and Collection of Monitoring Data ME1.3 Monitoring Method ME1.4 Performance Assessment ME1.5 Board and Executive Reporting ME1.6 Remedial Actions

11 154 b. ME 4 Provide IT Governance ME4.1 Establishment of an IT Governance Framework ME4.2 Strategic Alignment ME4.3 Value Delivery ME4.4 Resource Management ME4.5 Risk Management ME4.6 Performance Measurement ME4.7 Independent Assurance Adapun kriteria yang terdapat di dalam pengukuran Customer Perspective yang tidak digunakan dalam proses evaluasi pengendalian sistem informasi penjualan pada SBU Perberasan PT. Pertani adalah sebagai berikut: 1. PO05 Manage the IT Investment Dalam proses tersebut tidak digunakan dalam evaluasi, karena dalam evaluasi pengendalian sistem informasi penjualan SBU Perberasan PT. Pertani ini tidak dibahas mengenai biaya yang digunakan dalam investasi TI dan SBU Perberasan cabang Jakarta tidak memiliki wewenang dalam melakukan pengaturan investasi TI. Yang berhak melakukan pengaturan investasi TI adalah PT. Pertani pusat. 2. PO10 Manage Project Proses ini tidak digunakan dalam evaluasi karena SBU Perberasan cabang Jakarta tidak memiliki wewenang dalam pengelolaan proyek TI yang dimiliknya, semua pengembangan proyek TI yang ada sepenuhnya ditangani oleh PT. Pertani pusat.

12 Pelaksanaan Evaluasi Checklist Berikut adalah pertanyaan dan hasil dari audit checklist yang kami lakukan : Pertanyaan PO1.1 IT Value Management Apakah pada sistem inform asi di perusahaan sudah terdapat program yang mengindikasikan jika data yang diinput kurang atau salah? PO1.2 Business-IT Alignment Apakah antara proses bisnis dan IT telah terintegrasi dengan baik satu sama lain? PO1.3 Assessment of Current Capability and Performance Apakah terdapat pengevaluasian performa sistem untuk mendapatkan solusi dan layanan terkini? PO1.4 IT Strategy Plan Apakah perusahaaan telah memiliki perencanaan strategis terkait dengan sistem yang ada sekarang? PO1.5 IT Tactical Plans Apakah perusahaan telah memiliki perencanaan taktis TI yang menjelaskan kebutuhan TI, penggunaan sumber daya TI dan pengaturan perolehan keuntungan? PO1.6 Portfolio Management Apakah sistem yang sudah ada telah menjamin bahwa tujuan program mendukung pencapaian hasil yang diharapkan perusahaan? Ya Jawaban Tidak PO2.1 Enterprise Information Architecture Model Apakah perusahaan mempunyai gambaran model proses bisnis perusahaan khususnya proses penjualan, agar dapat digunakan dalam pengembangan aplikasi selanjutnya? PO2.2 Enterprise Data Dictionary and Data Syntax Rules Apakah perusahaan telah melakukan pengelompokkan data dalam sistem dan aplikasi yang memudahkan pengguna sistem untuk mengolah data? PO2.3 Data Classification Scheme Apakah perusahaan mempunyai skema pembagian data-data berdasarkan sensitifitas dan tingkat kepentingan data yang digunakan sebagai kontrol akses sistem informasi penjualan perusahaan? (misalnya data tingkatan pegawai untuk membatasi akses terhadap sistem) PO 2.4 Integrity Management Apakah telah terdapat pengelolaan untuk menetapkan prosedur dalam menjamin integritas dan konsistensi data yang ada? PO 3.1 Technological Direction Planning Apakah perusahaan telah melakukan analisa, pemilihan dan penggunaan teknologi yang berpotensi mendukung proses bisnis perusahaan? PO3.2 Technology Infrastructure Plan Apakah perusahaan memiliki perencanaan infrastruktur teknologi yang berkesinambungan dengan perencanaan strategis dan taktis TI? PO3.3 Monitor Future Trends and Regulations Apakah perus ahaan secara berkala telah memonitor perkembangan sektor teknologi dan sektor bisnis lainnya?

13 156 PO3.4 Technology Standards Apakah perusahaan memiliki standar aturan dalam penggunaan teknologinya? PO3.5 IT Architecture Board Apakah perusahaan telah memiliki dewan arsitektur TI untuk memberikan garis besar arsitektur dan saran untuk aplikasinya? PO4.1 IT Process Framework Apakah perusahaan memiliki kerangka kerja proses sistem informasi penjualan yang terhubung dengan sistem manajemen kualitas dalam pengukuran kinerja, kualitas sasaran, dan perencanaan? PO4.2 IT Strategy Committee Apakah perusahaan telah membentuk tim komite strategi TI yang bertugas untuk memastikan implementasi TI sudah sesuai ketentuan perusahaan? PO4.3 IT Steering Committee Apakah perusahaan telah memiliki komite pelaksana TI yang mengamati jalannya proses sistem bisnis yang berjalan di perusahaan? PO4.4 Organisational Placement of The IT Function Apakah perusahaan telah menetapkan komite TI pada struktur organisasi internal perusahaan? PO4.5 IT Organisational Structure Apakah perusahaan telah memiliki struktur Organisasional TI yang menggambarkan kebutuhan bisnis perusahaan? PO4.6 Roles and Responsibilities Apakah sudah ada pembagian peran dan tanggung jawab bagi masing-masing bagian untuk membatasi wewenang masing-masing? PO4.7 Responsibility for IT Quality Assurance Apakah perusahaan sudah mengatur tanggung jawab performa untuk menjamin kualitas dari fungsi TI? PO4.8 Responsibility for Risk, Security and Compliance Apakah perusahaan telah memberikan tanggung jawab kepada setiap pengguna sistem mengenai resiko TI dan menjaga keamanan informasi di dalam sistem maupun keamanan fisik sistem, serta didukung oleh staff maintance TI yang ada dalam perusahaan? PO4.9 Data and System Ownership Apakah perusahaan telah menyediakan prosedur, alat dan tanggung jawab dalam hal kepemilikan sistem, data dan informasi? PO4.10 Supervision Apakah perus ahaan telah melaksanakan pelatihan pengawasan yang memadai dalam fungsi TI untuk menjamin tanggung jawabnya telah dijalankan dengan baik? PO4.11 Segregation of Duties Apakah perusahaan telah melakukan pembagian tugas dan tanggung jawab, dimana setiap karyawan hanya melakukan tugas dan tanggung jawab yang relevan terhadap pekerjaan dan posisi mereka? PO4.12 IT Staffing Apakah proses penerimaan staf di perusahaan telah memiliki standar khusus, dalam hal ini terkait dengan bidang yang menyangkut penggunaan teknologi informasi? PO4.13 Key IT Personnel Apakah di perusahaan terdapat pengendalian yang mengawasi pegawai dalam mengerjakan tugas dan tanggung jawab untuk mencegah satu individu mengerjakan pekerjaan yang banyak dan penting?

14 157 PO4.14 Contracted Staff Policies and Procedures Apakah perusahaan telah menetapkan kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan / karyawan yang mendukung fungsi TI? PO4.15 Relationships Apakah diantara fungsi TI perusahaan dengan bagian-bagian yang lain memiliki komunikasi yang baik dan optimal? PO6.1 IT Policy and Control Environment Apakah perusahaan memiliki kebijakan dan pengendalian IT yang sesuai dengan dasar manajemen dan operasional perusahaan? PO6.2 Enterprise IT Risk and Control Framework Apakah perusahaan telah memiliki kerangka kerja yang berfungsi untuk pendekat an terhadap masalah, resiko dan pengendalian IT? PO6.3 IT Policies Management Apakah perusahaan telah melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung strategi TI? PO6.4 Policy, Standards and Procedures Rollout Apakah perusahaan telah memberikan penjelasan rincian kebijakan, standar dan prosedur TI yang digunakan untuk semua staf terkait? PO6.5 Communication of IT Objectives and Direction Apakah semua bagian, baik dari pengguna hingga manajemen tingkat atas telah mengetahui dan memahami nilai dan tujuan dari IT yang diterapkan? PO7.1 Personnel Recruitment and Retention Apakah proses penerimaan staf pada perusahaan telah berjalan dengan baik dan staf yang diterima memiliki keahlian yang dibutuhkan untuk membantu pencapaian tujuan perusahaan? PO7.2 Personnel Competencies Apakah perusahaan telah memastikan dengan rutin bahwa karyawan telah memiliki kompetensi untuk memenuhi peran mereka berdasarkan pendidikan, pelatihan dan pengalaman mereka? PO7.3 Staffing of Roles Apakah perusahaan telah melakukan pengawasan kes esuaian kinerja karyawan TI terhadap kebijakan dan prosedur manajemen TI? PO7.4 Personnel Training Apakah perusahaan telah memberikan pelatihan kepada karyawan untuk mempertahankan pengetahuan, keterampilan dan pengetahuan mereka? PO7.5 Dependence Upon Individuals Apakah terdapat pertukaran penget ahuan atau informasi di antara para staff sehingga tidak ada pekerjaan yang dilakukan hanya oleh satu individu? PO7.6 Personnel Clearance Procedures Apakah perusahaan telah menetapkan persyaratan mengenai latar belakang pendidikan / kompetensi dalam penerimaan karyawan staf/development? PO7.7 Employee Job Performance Evaluation Apakah ada pengevaluasian terhadap perform a kerja dari karyawan yang dilakukan berkala? PO7.8 Job Change and Termination Jika terjadi penghapusan atau pemindahan pekerjaan, terdapat pengaturan kembali tanggung jawab agar fungsi yang ada tetap dapat dijalankan? PO8.1 Quality Management System Apakah perusahaan telah memiliki sistem manajemen kualitas yang bertanggung jawab dalam mengawasi, mengukur dan meningkatkan keefektifan kualitas TI yang dihasilkan?

15 158 PO8.2 IT Standards and Quality Practices Apakah pihak perusahaan telah memiliki standar dan prosedur yang mengatur mengenai pemeliharaan kualitas TI agar sesuai dengan tujuan organisasi? PO8.3 Development and Acquisition Standards Apakah disaat pengembangan sistem yang baru, perusahaan telah menet apkan standar-standar yang harus terpenuhi? Misalnya standar software pemrograman yang digunakan, standar penamaan, dll? PO8.4 Customer Focus Apakah kebutuhan pelanggan telah diterapkan sebagai dasar untuk pencapaian manajemen kualitas? PO8.5 Continuous Improvement Apakah perusahaan telah membuat perencanaan peningkatan kualitas yang dilakukan untuk perkembangan selanjutnya? PO8.6 Quality Measurement, Monitoring and Review Apakah perusahaan telah melakukan pengukuran, pengawasan dan tinjauan kualitas untuk melakukan tindakan pemeliharaan, perbaikan dan pencegahan yang efektif? Pertanyaan AI1.1 Definition and Maintenance of Business Functional and Technical Requirements Apakah perusahaan telah melakukan pengidentifikasian, prioritas dan persetujuan fungsi bisnis dan persyaratan bisnis yang diperlukan untuk mencapai hasil yang TI yang diharapkan? AI1.2 Risk Analysis Report Apakah perusahaan telah melakukan analisis terhadap dokumen dan resiko-resiko yang terkait dengan persyaratan bisnis dan rancangan solusinya? AI1.3 Feasibility Study and Formulation of Alternative Courses of Action Apakah sudah dilakukan studi kelayakan yang memeriksa kemungkinan pengimplementasian kebutuhan perusahaan? AI1.4 Requirements and Feasibility Decision and Approval Apakah ada rencana akuisisi (penggantian) infrastuktur teknologi yang memenuhi persyaratan fungsional dan teknis bisnis? AI2.1 High-Level Design Apakah perusahaan telah melakukan pengadaan pembuatan rancangan spesifikasi lebih tinggi yang disetujui oleh manajemen? AI2.2 Detailed Design Apakah rancangan software aplikasi dibuat secara terperinci? AI2.3 Application Control and Auditability Apakah terdapat implementasi pengendalian aplikasi otomatis untuk mencapai proses yang akurat, lengkap, tepat waktu, dan dapat diperiksa? AI2.4 Application Security and Availability Apakah letak ketersediaan aplikasi persyarat an sebagai respon terhadap resiko sudah aman? AI2.5 Configuration and Implementation of Acquired Application Software Apakah perusahaan telah melakukan perubahan besar terhadap sistem yang mengakibatkan perubahan terhadap fungsionalitas sistem? AI2.6 Major Upgrades to Existing Systems Apakah perusahaan telah mengembangkan fungsi otomatis aplikasi sesuai dengan spesifikasi rancangan, jaminan kualitas dan standar persetujuan oleh pihak ketiga? Ya Jawaban Tidak

16 159 AI2.7 Development of Application Software Apakah fungsi otomatis software aplikasi dikembangkan sesuai spesifikasi rancangan, jaminan kualitas, dan standar persetujuan oleh pihak ketiga? AI2.8 Software Quality Assurance Apakah ada pengembangan, sumber daya, dan pelaksanaan rencana jaminan kualitas software untuk menghasilkan kualitas perusahaan yang dibutuhkan perusahaan? AI2.9 Applications Requirements Management Apakah selama pengembangan dan pelaks anaan, aplikasi telah sesuai kebutuhan dan mampu menerima perubahan melalui proses yang berjalan? AI2.10 Application Software Maintenance Apakah ada pengembangan strategi dan rencana untuk pemeliharaan aplikasi software? AI3.1 Technological Infrastructure Acquisition Plan Apakah perusahaan telah membangun sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis? AI3.2 Infrastructure Resource Protection and Availability Apakah perusahaan mempunyai prosedur yang terkait perlindungan dan pengawasan terhadap infrastruktur hardware, software, dan networking untuk memastikan ketersediaan, keamanan, integritas? AI3.3 Infrastructure Maintenance Apakah perusahaan telah melakukan pengembangan strategi dan rencana untuk pemeliharaan infrastruktur serta memastikan segala perubahan agar tetap sejalan dengan kegiatan proses bisnis perusahaan? AI3.4 Feasibility Test Environment Apakah perusahaan telah menetapkan lingkungan pengembangan dan uji sistem perusahaan guna mendukung aktivitas bisnis yang efektif dan efisien? AI4.1 Planning for Operational Solutions Apakah perusahaan telah melakukan perencanaan untuk mengidentifikasi dan mendokumentasikan semua aspek teknis, operasional dan penggunaan sehingga semua yang mengoperasikan, user, dan pemeliharan solusi otomatis dapat melaksanakan tanggung jawabnya? AI4.2 Knowledge Transfer to Business Management Apakah perusahaan telah memberikan pengetahuan penuh kepada manajemen bisnis tentang penggunaan aplikasinya? AI4.3 Knowledge Transfer to End Users Apakah perusahaan telah melakukan pemberi an pengetahuan terhadap end user dalam menggunakan sistem secara efekti f dan efisien dalam mendukung proses bisnis? AI4.4 Knowledge Transfer to Operations and Support Staff Apakah ada training pada staf operasi dan teknis untuk mendukung dan memelihara sistem secara efekti f dan efisien? AI5.1 Procurement Control Apakah perusahaan telah memiliki prosedur pengendalian dan pengembangan dalam pemenuhan sumber daya TI (hardware, software, infrastruktur) yang dibutuhkan? AI5.2 Supplier Contract Management Apakah ada kebijakan dan prosedur mengenai kesepakatan kontrak dengan konsultan yang mendukung fungsi TI?

17 160 AI5.3 Supplier Selection Apakah perusahaan telah melakukan pemilihan supplier yang terbaik dan tepat berdasarkan pada kebutuhan persyaratan yang ditetapkan? AI5.4 IT Resources Acquisition Apakah terdapat perlindungan terhadap manajem en perusahaan terkait dengan hak-hak dan kewajiban semua pihak dalam setiap perjanjian kontrak untuk penggantian perangkat lunak, pengembangan sumber daya IT, dan infrastruktur sistem? AI6.1 Change Standards and Procedures Apakah ada prosedur atau standar yang disusun untuk menangani permintaan perubahan aplikasi, prosedur, proses, sistem, dan platform yang ada? AI6.2 Impact Assessment, Prioritisation and Authorisation Apakah perusahaan telah melakukan penilaian secara terstruktur terhadap perubahan sistem yang dikategorikan dan diprioritasi untuk menentukan dampak yang akan mempengaruhi sistem operasional dan fungsional sistem? AI6.3 Emergency Changes Apakah ada penetapan proses untuk menentukan, menguji, mendokumentasikan, menilai, dan mensahkan perubahan darurat yang tidak mengikuti prosedur perubahan yang telah ditetapkan? AI6.4 Change Status Tracking and Reporting Apakah telah dilakukan penelusuran dan membuat laporan perubahan yang ditolak, disetujui, dan yang sedang dalam proses, serta memastikan bahwa perubahan yang disetujui telah dilaksanakan sesuai rencana? AI6.5 Change Closure and Documentation Apakah saat perubahan diimplementasikan, perusahaan memperbaharui sistem yang terkait, dokumentasi pengguna, dan prosedur sesuai perubahan? AI7.1 Training Apakah perusahaan telah melakukan pelatihan terhadap pengguna/staff department yang bersangkutan dan kelompok operasi fungsi TI sebagai bagian dari pengembangan proyek, implementasi atau modifikasi TI? AI7.2 Test Plan Apakah perusahaan memiliki prosedur yang mengatur rencana pengujian sistem TI agar hasil yang diperoleh sesuai dengan tujuan perusahaan? AI7.3 Implementation Plan Apakah perusahaan telah menetapkan rencana implementasi maupun penundaan atau penerapan solusi perubahan TI? AI7.4 Test Environment Apakah perusahaan telah melakukan pengujian di dalam lingkungan perusahaan sebagai gambaran bahwa lingkungan operasi yang direncanakan berhubungan dengan keamanan, pengendalian internal, kegiatan operasi, beban kerja? AI7.5 System and Data Conversion Apakah perusahaan telah memiliki perencanaan pengalihan data dan sistem serta perpindahan infrastruktur sistem dengan tujuan untuk mengembangkan bisnis? AI7.6 Testing of Changes Apakah terdapat prosedur pengendalian internal yang menjaga pros es berjalannya perpindahan sistem lama ke sistem baru untuk menjaga stabilitas proses bisnis berjalan? AI7.7 Final Acceptance Test Apakah manajem en perusahaan mengevaluasi hasil pengujian terhadap perubahan sistem dan memperbaiki kesalahan yang teridenti fikasi?

18 161 AI7.8 Promotion to Production Apakah setelah pengujian terdapat pengendalian perubahan sistem ke proses operasi untuk menjaga sistem agar tetap berjalan sesuai rencana implementasi? AI7.9 Post-implementation Review Apakah perusahaan telah melakukan peninjauan kembali setelah implementasi sistem dilakukan sesuai dengan prosedur yang ditetapkan? Pertanyaan DS1.1 Service Level Management Framework Apakah fasilitas sudah memenuhi kebutuhan antara pelanggan dan partner perusahaan? DS1.2 Definition of Services Apakah persyaratan bisnis sudah diimplementasikan dalam melayani pelanggan? DS1.3 Service Level Agreements Apakah perusahaan menentukan dan menyepakati service level agreement pada tiap bagian TI dalam perusahaan? DS1.4 Operating Level Agreements Apakah pers etujuan operasional sudah memenuhi kepuasan pelanggan? DS1.5 Monitoring and Reporting of Service Level Achievements Apakah sudah dilakukan pengawasan dan pelaporan atas kinerja perusahaan? DS1.6 Review of Service Level Agreements and Contracts Apakah perusahaan telah memiliki evaluasi kontrak dengan penyedia layanan internal atau eksternal secara rutin yang dilakukan? Ya Jawaban Tidak DS2.1 Identification of All Supplier Relationship Apakah perusahaan telah mempunyai aturan klasifikasi atau pengelompokkan terhadap para supplier/pihak ketiga (berdasarkan jenis produk, signifikasi dan kritikalitas supplier)? DS2.2 Supplier Relationship Management Apakah perusahaan telah menjalin hubungan yang baik dengan pelanggan dan penyalur serta apakah perusahaan telah memastikan kualitas hubungan berdasarkan pada kepercayaan dan kejelasan? DS2.3 Supplier Risk Management Apakah perusahaan sudah mengantisipasi resiko pengantaran barang ke pelanggan? DS2.4 Supplier Performance Monitoring Apakah perusahaan memiliki criteria standar pengawas an untuk memastikan persyaratan yang harus terpenuhi oleh supplier dalam jalinan kerjasama yang baik sesuai perjanjian bisnis yang disepakati? DS3.1 Performance and Capacity Planning Apakah perusahaan sudah merencanakan kinerja dan kapasitas perus ahaan? DS3.2 Current Capacity and Performance Apakah kinerja dan kapasitas perusahaan saat ini sudah memadai? DS3.3 Future Capacity and Performance Apakah perusahaan sudah melakukan antisipasi untuk kinerja dan kapasitas di masa mendatang? DS3.4 IT Resources Availability Apakah perusahaan telah memastikan dan mengatasi ketersediaan performansi dan kapasitas sumber daya TI yang tidak memadai?

19 162 DS3.5 Monitoring and Reporting Apakah perusahaan melakukan pengawasan terus menerus terhadap kinerja dan kapasitas sumber daya? DS4.1 IT Continuity Framework Apakah perusahaan telah melakukan pengembangan rencana kerja untuk kelangsungan TI yang mendukung manajemen bisnis perusahaan? DS4.2 IT Continuity Plans Apakah perusahaan telah melakukan pengembangan terhadap rencana keberlanjutan TI untuk mengurangi dampak yang besar pada fungsi dan proses bisnis? DS4.3 Critical IT Resources Apakah perusahaan telah memusatkan perhatian pada item-item sumber daya TI yang kritis untuk memastikan rencana kelangsungan TI dan menetapkan prioritas dalam situasi pemulihan sumber daya TI? DS4.4 Maintenance of the IT Continuity Plan Apakah perus ahaan telah melaksanakan prosedur perubahan untuk memastikan rencana keberlanjutan TI tentang tetap diperbaharui dan sesuai persyaratan bisnis yang ditetapkan? DS4.5 Testing of the IT Continuity Plan Apakah perusahaan telah melakukan pengujian terhadap rencana kelangsungan TI secara rutin untuk memastikan sistem TI dapat digunakan dengan efektif dan relevan? DS4.6 IT Continuity Plan Training Apakah perusahaan telah memberikan pelatihan rutin kepada semua user mengenai prosedur, peran dan tanggung jawabnnya dalam beberapa kasus insiden? DS4.7 Distribution of the IT Continuity Plan Apakah perusahaan telah menentukan strategi distribusi rencana kelangsungan TI secara teratur dan memastikan strategi tersebut telah terdistribusi dengan benar dan aman untuk menetapkan wewenang pihak-pihak yang terkait dengan sistem? DS4.8 IT Services Recovery and Resumption Apakah ada prosedur pemulihan dalam informasi teknologi perusahaan? DS4.9 Offsite Backup Storage Apakah tersedia media untuk menyimpan data-data di luar kantor? DS4.10 Post-Resumption Review Apakah manajem en perusahaan sudah menciptakan prosedur sesuai perencanaan? DS5.1 Management of IT Security Apakah perusahaan sudah mengelola keamanan informasi teknologi di tingkat tertinggi? DS5.2 IT Security Plan Apakah perus ahaan telah memastikan rencana keam anan sistem yang diimplementasikan sesuai dengan kebijakan, prosedur keamanan, dan infrastruktur TI? DS5.3 Identify Management Apakah perusahaan telah memastikan identitas pengguna dan hak akses pengguna melalui mekanisme keotentikan yang disetujui oleh pemilik sistem? DS5.4 User Account Management Apakah perusahaan telah menetapkan pengaturan yang tepat terhadap prosedur manajemen user yang terkait dengan hak akses user?

20 163 DS5.5 Security Testing, Surveillance and Monitoring Apakah perusahaan telah melakukan pengawasan implementasi keamanan TI secara rutin disertai dengan penanganan secara dini terhadap aktivitas yang tidak tepat pada perusahaan? DS5.6 Security Incident Definition Apakah perusahaan telah melakukan perundingan khusus untuk menentukan dan mendeskripsikan dengan jelas karakteristik potensi terjadinya insiden keamanan? DS5.7 Protection of Security Technology Apakah perusahaan telah memiliki teknologi yang tahan terhadap masalah kerusakan, dan tidak menyingkap dokumentasi keamanan yang tidak perlu? DS5.8 Cryptographic Key Management Apakah perusahaan telah menentapkan kebijakan dan prosedur terhadap pengarsipan kunci-kunci kriptografi sistem untuk memastikan perlindungan dari kerusakan dan ancamana lain? DS5.9 Malicious Software Prevention, Detection and Correction Apakah perusahaan telah menempatkan upaya-upaya preventif, detektif dan korektif untuk melindungi sistem dan teknologi informasi dari virus komputer? DS5.10 Network Security Apakah perusahaan telah menggunakan teknik keamanan dan prosedur manajemen untuk menguasai akses dan mengontrol aliran informasi untuk jaringan kerja? DS5.11 Exchange of Sensitive Data Apakah pertukaran data-data perusahaan telah melalui jaringan khusus yang aman? DS6.1 Definition of Services Apakah perusahaan sudah melakukan identifikasi biaya informasi teknologi? DS6.2 IT Accounting Apakah perusahaan telah melakukan penghitungan dan pelaporan estimasi biaya yang akan dikeluarkan? DS6.3 Cost Modeling and Charging Apakah perusahaan sudah menggunakan struktur penetapan biaya pada informasi teknologi? DS6.4 Cost Model Maintenance Apakah perus ahaan secara teratur meninjau kelayakan biaya pada informasi teknologi? DS7.1 Identification of Education and Training Needs Apakah perusahaan telah melakukan penetapan untuk setiap kelompok karyawan yang disesuaikan dengan kebutuhan strategi bisnis, implementasi infrastruktur dan perangkat-perangakat TI lainnya? DS7.2 Delivery of Training and Education Apakah perusahaan sudah mengelompokkan para karyawan menurut skill dan potensinya? DS7.3 Evaluation of Training Received Apakah perusahaan telah melalukan evaluasi tehadap isi pendidikan dan pelatihan untuk relevansi, kualitas, keefektifan pemeliharaan pengetahuan, biaya untuk menjadi masukan bagi kegiatan pelatihan? DS8.1 Service Desk Apakah perusahaan telah melakukan pertemuan secara rutin antara user dengan staf TI untuk mencatat, membicarakan keluhan yang dilaporkan,

21 164 permintaan layanan dan informasi, serta dilakukan pengawas an berdas arkan untuk mememudahkan klasifikasi dan prioritisasi semua masalah? DS8.2 Registration of Customer Queries Apakah perusahaan sudah menerapkan sistem untuk melakukan pencarian data pelanggan? DS8.3 Incident Escalation Apakah perusahaan sudah mengantisipasi kejadian-kejadian sesuai dengan prosedur? DS8.4 Incident Closure Apakah perusahaan telah melakukan pengukuran kepuasan pengguna akhir dengan kualitas layanan dan layanan TI? DS8.5 Reporting and Trend Analysis Apakah perusahaan sudah melakukan pelaporan atas kegiatan pelayanan? DS10.1 Identification and Classification of Problems Apakah perusahaan sudah melakukan identifikasi dan klasifikasi terhadap masalah? DS10.2 Problem Tracking and Resolution Apakah perusahaan telah memiliki fasilitas proses audit yang sudah memadai untuk memudahkan penelusuran, penganalisaan, dan penentuan penyebab akar semua masalah? DS10.3 Problem Closure Apakah sistem perusahaan sudah menerapkan prosedur pendekatan masalah? DS10.4 Integration of Configuration, Incident and Problem Management Apakah perusahaan sudah diintegrasi dengan proses-pros es penyelesai an masalah? DS11.1 Business Requirements for Data Management Apakah sistem informasi perusahaan sudah memverifikasi data yang diterima dan di proses? DS11.2 Storage and Retention Arrangements Apakah perusahaan sudah menerapkan prosedur yang efektif dan efisien untuk penyimpanan data? DS11.3 Media Library Management Systems Apakah perusahaan telah mempunyai prosedur untuk menjaga perlengkapan pada media penyimpanan yang disimpan dan diarsipkan untuk menjaga daya guna dan terintegritasan media tersebut? DS11.4 Disposal Apakah perusahaan sudah menerapkan prosedur untuk memastikan perlindungan data? DS11.5 Backup and Restoration Apakah perusahaan telah menentukan dan mengimplementasikan prosedur untuk cadangan dan restorasi sistem, aplikasi, data dan dokumentasi yang sejalan dengan persyaratan bisnis? DS11.6 Security Requirements for Data Management Apakah perusahaan sudah menerapkan prosedur keamanan dalam manajemen data? DS12.1 Site Selection and Layout Apakah perusahaan telah menentukan dan memilih keamanan perlengkapan TI untuk mendukung strategi TI yang terhubung dengan strategi bisnis? DS12.2 Physical Security Measures Apakah perusahaan telah melakukan pengukuran terhadap keamanan lingkungan untuk mencegah, mendeteksi dan mengurangi resiko-resiko yang

22 165 berhubungan dengan pencuri an, bencana alam, terror, vandalisme (aksi coratcoret), atau ledakan? DS12.3 Physical Access Apakah perusahaan telah memiliki prosedur batasan akses bedasarkan kebutuhan bisnisnya terhadap staf, klien, dan pihak ketiga lainnya? DS12.4 Protection Against Environmental Factors Apakah perusahaan sudah menerapkan langkah-langkah untuk perlindungan sistem terhadap faktor-faktor luar? DS12.5 Physical Facilities Management Apakah perusahaan sudah mengelola fasilitas dan peralatan komunikasi dengan baik? DS13.1 Operation Procedures and Instructions Apakah perusahaan telah menetukan, mengimplementasikan, memelihara prosedur untuk operasi TI, dan telah memastikan bahwa anggota staf operasi mengerti semua tugas operasi mereka? DS13.2 Job Scheduling Apakah perusahaan sudah mengatur penjadwal an pekerj aan karyawan? DS13.3 IT Infrastructure Monitoring Apakah perusahaan sudah menerapkan prosedur untuk memantau infrastruktur sistem informasi? DS13.4 Sensitive Documents and Output Devices Apakah perusahaan sudah menetapkan perlindungan data yang sesuai? DS13.5 Preventive Maintenance for Hardware Apakah perusahaan sudah menerapkan prosedur untuk menjamin pemeliharaan infrastruktur sistem informasi? Pertanyaan ME1.1 Monitoring Approach Apakah ada langkah-langkah untuk pengawasan, pengukuran, dan tinjauan kualitas untuk melakukan tindakan perbaikan dan pencegahan yang tepat? ME1.2 Definition and Collection of Monitoring Data Apakah perusahaan telah melakukan proses pengawasan terhadap penyimpanan dan pengambilan data sehingga memberikan laporan yang akurat dan tepat waktu? ME1.3 Monitoring Method Apakah perusahaan telah memiliki metode pengawasan terhadap kinerja yang mencatat target, pencapaian TI, dan yang sesuai dengan sistem pengawasan perusahaan? ME1.4 Performance Assessment Apakah perus ahaan secara berkala meninjau performansi terhadap sasaran, menganalisa penyebab setiap penyimpangan dan mengawali tindakan perbaikan untuk mengatasi masalah yang ada? ME1.5 Board and Executive Reporting Apakah perusahaan telah membuat laporan kontribusi TI mengenai tujuan yang tercapai, penggunaan sumber daya, dan rekomendasi untuk pembaharuan maupun perbaikan? ME1.6 Remedial Actions Apakah perusahaan telah melakukan identifikasi dan tindakan perbaikan berdasarkan pada pengawasan, penilaian dan pelaporan kinerja? ME4.1 Establishment of an IT Governance Framework Apakah perusahaan telah menyusun kerangka IT yang digunakan untuk Ya Jawaban Tidak

23 166 menyesuaikan IT dengan proses bisnis perusahaan? ME4.2 Strategic Alignment Apakah para manajemen tingkat atas telah memahami mengenai permasalahan tentang IT, seperti peran dan kegunaan IT tersebut? ME4.3 Value Delivery Apakah penggunaan IT di dalam perusahaan telah memberikan nilai lebih pada proses bisnis perusahaan? ME4.4 Resource Management Apakah sumber daya manajemen yang ada telah cukup membantu meningkatkan penggunaan IT? ME4.5 Risk Management Apakah perusahaan telah memiliki manajemen resiko yang dibentuk perusahaan untuk menentukan resiko yang mungkin timbul dalam penggunaan TI pada proses bisnis? ME4.6 Performance Measurement Apakah perusahaan telah melakukan pengukuran kinerja TI yang dilakukan oleh manajemen perusahaan dan memberikan laporan yang rutin kepada manajemen senior? ME4.7 Independent Assurance Apakah sistem IT di perusahaan telah sesuai dengan kebijakan perusahaan, hukum dan standar yang ada? Tabel 4.2 Checklist Analisa Temuan dan Rekomendasi Berikut adalah temuan dan rekomendasi hasil evaluasi : Plan and Organise PO 1 Define a strategic IT Plan and direction PO 2 Define the information architecture Kriteria Temuan Rekomendasi Metodologi PO 1.1 PO 1.2 PO 1.3 PO 1.4 PO 1.5 PO 1.6 PO 2.1 PO 2.2 PO 2.3 PO 2.4 Dalam hal ini perusahaan telah mengidentifikasi serta membuat perencanaan tentang strategi penerapan TI yang akan dilakukan dalam mendukung proses bisnis. Tiap perencanaan harus diikuti dengan proposal yang menggambarkan segala detail hal terkait Dalam hal ini perusahaan memang sudah memiliki gambaran/arsitektur model dari sistem yang akan diterapkan serta telah melakukan pengelompokkan data sesuai dengan tingkat sensitifitasnya, akan tetapi kami temukan bahwa tidak adanya pembat asan ruang Hal ini menggambarkan perusahaan sudah cukup baik dalam mengawali sebuah keinginan akan kebutuhan sistem yang akan diterapkan, dimana perusahaan telah membuat perencanaan terlebih dahulu sebelum mengimplementasikan dan ini harus dipertahankan terus oleh perusahaan Perusahaan harus lebih memperhatikan perancangan arsitektur model dalam sistem aplikasi yang akan diterapkan, perusahaan diharapkan melakukan identifikasi lebih mendalam mengenai pengendalian aplikasi sehingga kelemahan Ceklist, wawancara Ceklist, Observasi

24 167 lingkup atas hak akses masuk yang membuat aplikasi menjadi sangat mudah dimanipulasi oleh pihak yang tidak bertanggung jawab seperti ini tidak terjadi dan meminimalisir kemungkinan adanya kelemahan kontrol pada aplikasi yang dapat berakibat fatal. PO 3 Determine technological direction PO 4 Define IT processes, organization and relationship PO 3.1 PO 3.2 PO 3.3 PO 3.4 PO 3.5 PO 4.1 PO 4.2 PO 4.3 PO 4.4 PO 4.5 PO 4.6 PO 4.7 PO 4.8 PO 4.9 PO 4.10 PO 4.11 PO 4.12 PO 4.13 PO 4.14 PO 4.15 Perusahaan telah memiliki dewan TI yang menganalisa, memonitor arah penerapan teknologi yang dapat diterapkan pada perusahaan dan dapat mendukung proses bisnis perusahaan Dalam proses bisnis berjalan perusahaan sudah mengidentifikasi dan memiliki kerangka proses kerja TI untuk mendukung perencanaan strategis pada seluruh bagian perusahaan. Termasuk dalam hal pembagian pembatas an tanggung jawab dan wewenang. Tetapi terlihat dalam aktifitasnya, manajemen kurang efektif dalam melakukan pengawasan kinerja pegawainya, hal itu disebabkan karena tidak adanya pengawas an secara berkala dalam penilaian kualitas kinerja Ruang lingkup atas hak akses harus dibatasi sesuai dengan tanggung jawab dan tugas pegawai. Perusahaan telah menerapkan teknologi yang cukup baik, sehingga yang perlu dilakukan oleh perusahaan adal ah untuk tetap terus menjaga stabilitas sistem dengan meningkatkan proses pengawasan serta analisa akan kebutuhan baru proses bisnis Kerangka proses kerja TI dapat dilanjutkan oleh perusahaan, tetapi akan lebih baik bila perusahaan selalu melakukan evaluasi untuk memperbaiki atau menambahkan kekurangan yang ada agar dapat berkembang sejalan dengan proses bisnis perusahaan Peningkatan dalam proses pengawasan perlu dilakukan oleh manajemen, pengawasan dibuat terstruktur menggunakan scorecard dan rutin dilakukan untuk mendapatkan hasil yang optimal Ceklist Ceklist, Wawancara PO 6 Communicate management aim and direction PO 6.1 PO 6.2 PO 6.3 PO 6.4 PO 6.5 Perusahaan dirasa sudah menyadari arti penting dari mengkomunikasikan segala kebijakan dan pengendalian TI terhadap manajemen. Hal ini terlihat dari pemahaman pegawai yang sudah mengerti nilai-nilai manfaat diterapkannya sebuah sistem teknologi untuk dapat mendukung Informasi berkaitan proses bisnis atau perusahaan harus terus dikomunikasikan kepada manajemen agar tidak adanya ketidaktahuan terhadap tujuan dan pencapaian organisasi. Oleh karena itu kejelasan, keakuratan, ketersediaan informasi harus Wawancara, Observasi, Ceklist

25 168 PO 7 Manage IT human resources PO 7.1 PO 7.2 PO 7.3 PO 7.4 PO 7.5 PO 7.6 PO 7.7 PO 7.8 kegiatan proses berjal an perusahaan. Perusahaan telah memiliki kerangka kerja dalam pendekatan terhadap masalah, resiko dan pengendalian TI serta melakukan pengembangan dan mempertahankan serangkaian kebijakan untuk mendukung startegi TI, tetapi kelemahan yang terjadi adalah tiap proses pengembangan tidak terdokumentasi secara teratur/rutin Perusahaan telah memiliki prosedur yang cukup baik dalam mengatur sumber daya manusia perusahaan. Prosedur berkaitan dengan penerimaan pegawai yang harus memiliki kompetensi dan syarat pendidikan memenuhi kebutuhan dari perusahaan. Manajemen juga telah melakukan pelatihan terhadap SDM perusahaan dalam proses pengingkatan pengetahuan, keterampilan dan keahlian penggunaan sistem Manajemen belum melakukan evaluasi secara berkala terhadap kinerj a dari pegawai. dimaksimalkan Perlunya pemahaman akan pentingnya dokumentasi atas suatu pengembangan dan perubahaan, karena dokumentasi yang teratur/rutin dapat memudahkan manajemen dalam menelusuri jejak masalah untuk pembelajaran atau informasi kedepannya. Oleh karena itu perusahaan perlu melakukan dokumentasi secara rutin bila adanya perubahan dalam dokumentasi ( blueprint) awal/lama Pengelolaan SDM perusahaan akan lebih baik bila terus di analisa dan disesuaikan dengan keadaaan perus ahaan. Sehingga seperti penerimaan pegawai terus mengalami peningkatan yang memberi masukan positif bagi perusahaan untuk dapat mengembangkan usaha kearah yang lebih baik. (peningkatan syarat penerimaan) Pelatihan dilakukan secara rutin dan tidak hanya ketika adanya suatu penerapan sistem baru saja. Pelatihan juga sebaiknya selain dilakukan oleh staf TI juga dibawakan dari sumber-sumber external Wawancara, Ceklist Manajemen perlu membenahi prosedur evaluasi atau penilaian terhadap kinerja pegawai, penilaian harus dilakukan secara periodik (min 4 kali per tahun) untuk mengetahui kelemahan yang ada pada SDM

26 169 PO 8 Manage Quality PO 8.1 PO 8.2 PO 8.3 PO 8.4 PO 8.5 PO 8.6 Perusahaan menyadari perlunya suatu pengendalian terhadap kualitas kerja dan TI dengan merumuskan standar-standar acuan dalam suatu pencapai an kualitas yang baik. Pemeliharaan dan pengawasan dilakukan perusahaan terhadap bagian-bagian sensifitif pada perusahaan dan hal ini terus dikembangkan oleh perusahaan dalam pencapaian hasil yang maksimal. perusahaan, dibantu dengan dokumentasi dalam scorecard. Perusahaan dapat mempertahankan kondisi ini dalam proses bisnis berjalan. Tetapi diharapkan untuk menjamin bahwa kualitas terjaga dengan baik. Perlu dibentuknya suatu tim independen yang menilai secara periodik (minimal 2 kali per tahun) atas keberlangsungan sistem proses bisnis Wawancara, Ceklist Acquire and Impmentle AI 1 Identify automated solutions AI 2 Acquire and maintain application software Kriteria Temuan Rekomendasi AI 1.1 AI 1.2 AI 1.3 AI 1.4 AI 2.1 AI 2.2 AI 2.3 AI 2.4 AI 2.5 AI 2.6 AI 2.7 AI 2.8 AI 2.9 AI 2.10 Identifikasi terhadap resikoresiko persyaratan bisnis dan rancangan solusi telah dilakukan dalam pencapaian implementasi sistem yang sesuai dengan tujuan perusahaan. Hal tersebut dengan telah dilakukannya studi kelayakan dalam setiap rancangan dalam pencapaian TI yang diharapkan. Perusahaan sudah memahami bahwa sebuah implementasi sistem pasti memerlukan suatu perawatan dan penambahan/perbaikan selama proses bisnis berjalan, oleh karena itu perawatan terhadap aplikasi dilakukan oleh staf TI terhadap aplikasi yang digunakan Diketahui bahwa proses perubahaan atau perbaikan aplikasi tergolong cukup lama dari masalah ditemukan hingga masalah dapat diselesaikan, Pertahankan dan tingkatkan standar studi kelayakan pada tiap pemenuhan akan kebutuhan dari perusahaan, agar jaminan keberhasilan dari penerapan dan pemenuhan sistem menjadi tinggi Perawat an terhadap sistem aplikasi proses bisnis harus dilakukan secara rutin (minimal 3 bulan sekali) dan segala perubahan atau perbaikan didokumentasi untuk memudahkan dalam penelusuran Perlunya penerimaan staf TI tambahan yang berkompeten dan sesuai dengan kebutuhan, sehingga waktu pengerjaan perbaikan bisa lebih diminimalisir Pada saat update aplikasi Ceklist

27 170 AI 3 Acquire and maintain technology infrastructure AI 3.1 AI 3.2 AI 3.3 AI 3.4 dikarenakan SDM yang tidak memadai untuk menangani seluruh cabang yang ada Perbedaan penyebutan primary key secondary key ( form at ) Perusahaan dalam mengakuisisi infrastruktur telah membuat sebuah perencanaan untuk perancangan, implementasi dan pemeliharaan infrastruktur teknologi agar sesuai dengan kebutuhan proses bisnis. Tetapi pada kenyataannya proses perawatan terhadap infrastruktur tidak efektif dan rutin dilakukan oleh staf TI, karena staf TI tidak tersebar secara menyeluruh kesetiap cabang dan proses perawatan menjadi tidak tepat waktu dilakukan perubahan pada format aplikasi yang berbeda penyebutan primary key dan secondary key-nya pada form penjualan tunai dan penjualan kredit (nomor faktur dirubah dengan nomor DO) Perencanaan yang dibuat oleh manajemen sudah cukup baik, tetapi hal tersebut belum didukung dengan realisasi pada kenyataan. Perusahaan lebih baik melakukan pelatihan-pelatihan terhadap pegawai disetiap cabang yang memiliki kemampuan dibidang TI, sehingga dapat difungsikan sebagai staf yang melakukan perawatan terhadap infrastruktur Wawancara, Ceklist AI 4 Enable operation and use AI 5 Procure IT resources AI 4.1 AI 4.2 AI 4.3 AI 4.4 AI 5.1 AI 5.2 AI 5.3 AI 5.4 Perusahaan telah mendefinisikan akan kebutuhan operasional termasuk mendokumentasikan, sehingga pengguna dapat dengan mudah mengoperasikan sistem sesuai dengan semestinya. Dalam proses akuisisi kebutuhan akan TI, perusahaan sudah membuat prosedur yang harus dilakukan. Terdapatnya kriteria-kriteria dalam pemilihan vendor, adanya perjanjian berupa kontrak yang menjamin perlindungan atas hak dan kewajiban berbagai pihak dan pengendalian atas kerjasam a Hal yang perlu dilakukan adalah dengan selalu mengevaluasi dan analisa akan perkembangan proses bisnis, agar kegiatan operasional dapat sejalan dengan tujuan organisasi Tiap perkembangan dan perubahaan harus didokumentasikan dalam blueprint agar inform asi dapat diperoleh dengan mudah Prosedur yang telah diberlakukan sudah cukup baik, dalam proses berjalan bisnis perusahaan akan lebih baik selalu menganalisa prosedur agar terus sejalan dengan perkembangan bisnis Ceklist, Wawancara Ceklist, Wawancara