BAB 4 ANALISIS DAN BAHASAN. kinerja (Maturity Level) terhadap Tata Kelola di PT ANTAM (Persero) Tbk. Data

Transkripsi

1 BAB 4 ANALISIS DAN BAHASAN Pada bab ini, analisis data mencakup tentang penerapan dan pengukuran kinerja (Maturity Level) terhadap Tata Kelola di PT ANTAM (Persero) Tbk. Data yang didapat merupakan hasil wawancara maupun dokumen-dokumen terkait. Tahap-tahap analisis diawali dengan pemetaan Business Goals di perusahaan dan CobIT, kemudian berdasarkan hasil pemetaan tersebut akan diidentifikasi IT goals, IT Process, serta Control Objectives berdasarkan COBIT yang dapat menjadi sasaran di perusahaan, hingga tahap yang terakhir yaitu Maturity Level, dimana penilaian kinerja secara keseluruhan menghasilkan suatu level tertentu. Selain itu dalam bab ini juga membahas tentang audit atas pengendalian umum dan pengendalian aplikasi terhadap perusahaan. 4.1 Audit Atas Pengendalian Umum Pengendalian Manajemen Tujuan dari audit area ini adalah untuk mendapatkan gambaran mengenai manajemen dan organisasi teknologi informasi serta menilai kelayakan dan kecukupan pengendalian yang ada. Dalam area ini akan ditinjau apakah terdapat strategi TI baik jangka pendek maupun jangka panjang, kemudian kebijakan, sistem dan prosedur TI yang memadai. Selain itu akan ditinjau mengenai apakah terdapat struktur organisasi yang mendukung kinerja bagian TI, dan apakah organisasi tersebut ditunjang dengan 49

2 sumber daya yang baik yang berupa anggaran/pembiayaan maupun tenaga kerja di bagian TI. Selanjutnya dalam area ini akan ditinjau apakah terdapat quality assurance dan monitoring atas kinerja bagian TI SUB AREA 1 : IT Strategy Dari hasil wawawancara dengan pihak terkait, penulis menemukan bahwa pada PT ANTAM (Persero) Tbk ini, terdapat strategi TI dan rencana jangka panjang maupun jangka pendek. Strategi TI serta rencana jangka panjang dan rencana jangka pendek dibuat oleh divisi ICT. Rencana jangka panjang (IT Master Plan) dibuat untuk perencanaan yang akan dilakukan dalam jangka waktu 5 tahun. Rencana jangka panjang ini biasanya menganalisis kegiatan di PT ANTAM yang bisa disistemkan. Divisi ICT melakukan perencanaan dengan memperkirakan biaya, waktu dan apakah ada pihak yang dapat mendukung berjalannya pemenuhan kegiatan sistem tersebut. Tahapan analisis ini terdiri dari menganalisa kegiatan yang dilakukan oleh divisi system analys, lalu dilakukan coding oleh divisi programmer, setelah itu dilakukan percobaan oleh divisi key user, lalu yang terakhir melakukan penyebaran atas hasil analisis yang dilakukan oleh divisi operasional. Sedangkan rencana jangka pendek yaitu IT Technical Plan dan IT Capacity Planning dibuat untuk perencanaan yang akan dilakukan dalam jangka waktu 1 tahun. Kegiatan rencana jangka pendek ini mencakup akan kebutuhan tekhnis dan hardware yang diperlukan oleh divisi IT. Selain itu terdapat pula kebijakan, sistem dan prosedur tertulis yang mengatur kinerja bagian TI perusahaan yang dibuat juga oleh divisi ICT. 50

3 SUB AREA 2 : Policy, Standard Procedure and External Requirement Bagian TI aktif meninjau apakah penggunaan teknologi di PT ANTAM (Persero) Tbk telah sesuai dengan hukum dan Undang-Undang Hak Cipta, sehingga tercapai suatu kesepakatan manajemen bahwa di masa yang akan datang perusahaan akan menuju ke arah Open Source. Saat ini semua software yang dipakai dalam kegiatan sehari-hari pada perusahaan merupakan software-software yang resmi. Selain itu kebijakan pengamanan data dan sumber daya TI pun sudah ada di perusahaan ini SUB AREA 3 : Organisasi Bagian TI Struktur organisasi bagian TI pada PT Antam (Persero) Tbk berada dibawah direktur sumber daya manusia, yan terbagi atas divisi ICT dan IT Governance yang dibagi tugasnya atas hardware and network dan IT support. Divisi ICT dan IT Governance bekerja atas perencanaan sendiri dengan menganalisis pemenuhan kegiatan sistem di perusahaan. Dalam hal ini divisi ICT dan IT Governance bertugas untuk membuat kebijakan IT, perencanaan & alignment bisnis, pengembangan sistem ICT, pengoperasian sistem ICT, monitoring & evaluasi, manajemen informasi, keamanan sistem serta melakukan kontinuitas atas sistem ICT. Secara keseluruhan divisi IT perusahaan telah bekerja secara kompeten karena sudah terdapat tenaga kerja yang mengatur kegiatan TI yang menyangkut hardware, jaringan dan support. 51

4 SUB AREA 4 : IT Resources Anggaran bagian TI merupakan bagian dari anggaran departemen finance. Anggaran bagian TI setiap tahunnya berkisar antara 20 milyard. Anggaran bagian TI dilakukan dengan taat sesuai dengan kebutuhannya dan sudah pernah dilakukan analisa realisasi anggaran dan manfaat yang diperoleh dari realisasi tersebut. Sumber daya TI pada PT ANTAM (Persero) Tbk terdiri dari ICT dan IT Governance. Pembagian tugasnya diantaranya adalah membuat kebijakan IT, perencanaan & alignment bisnis, pengembangan sistem ICT, pengoperasian sistem ICT, monitoring & evaluasi sistem ICT, manejemen informasi, keamanan sistem ICT dan mengamati serta menganalisis kontinuitas sistem ICT. Perusahaan juga secara rutin telah melakukan sosialisasi dan pelatihan teknologi informasi baik kepada personil teknologi informasi maupun user SUB AREA 5 : Quality Assurance Sudah terdapat quality assurance secara formal di dalam bagian TI. Perusahaan menggunakan SLA (Service Level Agreement) sebagai standar penilaian untuk menilai kualitas pelayanan perusahaan. Perusahaan juga telah melakukan telaahan secara periodik terhadap kinerja sistem di DTI maupun di user SUB AREA 6 : Monitoring PT ANTAM (Persero) Tbk sudah melakukan audit atas bagian TI secara rutin setiap tahunnya. Analisis risiko terhadap kegiatan yang berkaitan dengan teknologi juga sudah pernah dilakukan. Sehingga fungsi monitoring terhadap bagian TI sudah terpantau dengan baik. 52

5 4.2 Pengendalian Pengembangan Sistem dan Dokumentasi Audit atas area ini adalah untuk mendapatkan gambaran secara lengkap mengenai pengembangan, pengubahan, pemeliharaan dan pendokumentasian sistem dan aplikasi serta kelayakan dan kecukupan pengendalian yang ada SUB AREA 1 : Pengembangan Sistem dan Aplikasi Dari hasil wawancara dengan divisi terkait, diperoleh informasi bahwa sistem ICT pada PT ANTAM (Persero) Tbk terbagi atas 2 yaitu aplikasi dan infrastruktur. Pada bagian aplikasi, diketahui bahwa perusahan menggunakan beberapa aplikasi untuk mendukung kegiatan TI pada perusahaan, diantaranya adalah aplikasi ERP, non ERP dan aplikasi pendukung. Sedangkan pada bagian infrastruktur juga terbagi atas beberapa bagian, diantaranya adalah bagian yang mengurusi pheriperal, server, , storage database dan network telecommunication. Pengembangan sistem atau aplikasi dilakukan oleh bagian ICT dan IT Governance dengan melakukan analisis sebelumnya untuk melakukan pengembangan aplikasi baru, perubahan atau penambahan fungsi/menu aplikasi lama. Ada beberapa tahapan yang harus dilakukan dalam pengembangan aplikasi baru, diantaranya adalah melakukan analisa terlebih dahulu dengan melihat bagian mana yang memerlukan pengembangan aplikasi. Setelah melakukan analisa dan menemukan temuan akan butuhnya pengembangan aplikasi baru dilakukan perencanan untuk melakukan pengembangan aplikasi tersebut. Perencanaan tersebut adalah dengan menganalisa berapa biaya yang dibutuhkan, waktu, dan orang yang dapat mendukung pengembangan sistem aplikasi tersebut. Divisi system analys melakukan analisa terhadap pengembangan sistem aplikasi, divisi programmer 53

6 melakukan coding, lalu divisi key user yang melakukan testing akan pengembangan sistem aplikasi tersebut dan terakhir baru dilakukan pengoperasian oleh divisi deployment SUB AREA 2 : Manajemen Proyek Proyek pengembangan aplikasi di PT ANTAM (Persero) Tbk dilakukan oleh user dengan tahapan awal memberikatahukan divisi ICT terhadap kebutuhan aplikasi dengan membuat proposal pengembangan proyek, setelah itu di review oleh bagian ICT. Apabila bagian ICT menyetujui proposal tersebut maka dilanjutkan dengan membuat project charter (deskripsi umum) dan project plan (gambaran umum timeline) yang dibuat oleh divisi ICT yang berhubungan dengan user. Setelah project charter dan project plan disetujui, user melakukan analisa akan kebutuhan aplikasi lalu dilanjutkan dengan membuat perancangan atau design aplikasi dan mengembangkan aplikasi tersebut. Aplikasi yang sudah dikembangankan akan dicoba (testing) oleh divisi internal ICT setelah itu dilakukan User Acceptance Test (UAT) dan yang apabila tidak ada perubahan maka akan dilakukan transisi dari saat aplikasi dikembangkan dan dioperasikan. Kemajuan proyek pengembangan aplikasi tersebut selalu dipantau dengan baik secara rutin selama dua minggu atau satu minggu sekali tergantung project yang dikerjakan SUB AREA 3 : Dokumentasi Dokumentasi yang paling valid yang bisa ditemukan di PT Antam (Persero) Tbk dari setiap proyek pengembangan aplikasi diantaranya adalah sistem proposal, project charter, project plan, analisa, perancangan (design), administration guide 54

7 dan deployment guide. Selain itu juga sudah ada standar dan prosedur formal mengenai perencanaan dan pengembangan aplikasi dan sistem. Dokumentasi tersebut juga sudah disimpan dengan baik dan teratur sehingga dapat memudahkan seseorang apabila ingin mencari manual sebuah aplikasi. Sudah terdapat standar dokumentasi pengembangan sistem, dan bagian TI serta manajemen rutin melakukan review atas dokumentasi ini secara bertahap atau sekaligus di akhir saat dokumentasi selesai. Sudah terdapat pemisahan tingkat dokumentasi berdasarkan level jabatan, manajemen, staff, outsource, atau pihak ketiga. Hanya manajemen yang dapat melihat semua dokumentasi yang ada. Dari hasil observasi juga ditemukan bahwa terdapat panduan konversi data dari sistem lama ke sistem baru dan apabila sistem diperbaharui pasti ada konversi data. Sudah terdapat pedoman mengenai informasi apa saja yang harus dikonversi. Misal aplikasi A, karena aplikasi sudah tidak fungsional dan tidak bisa digunakan maka aplikasi di upgrade dari informasi yang lama diganti ke yang baru dan yang bertanggung jawab tergantung projectnya. Bagan alur dan naratif, tujuan dan fungsi aplikasi, deskripsi data dan record terdapat dokumennya. Sedangkan untuk user manual cukup dapat dimengerti. 4.3 PENGENDALIAN KEAMANAN Audit area ini adalah untuk mengetahui dan menilai kelayakan dan kecukupan pengamanan terhadap sumber daya teknologi informasi. 55

8 SUB AREA 1 : General Dari wawacara dengan divisi ICT, diketahui bahwa perusahaan peduli akan keamanan khususnya keamanan logical dan sudah ada kebijakan mengenai keamanan sistem informasi secara tertulis. PT Antam (Peresreo) Tbk menggunakan firewall, audit trail log dan sistem password. Penggunaannya sudah mengikuti standar password yang berlaku seperti : panjang minimum, kombinasi huruf dan angka dan ketentuan pembaharuan password secara berkala SUB AREA 2 : Pengendalian Fisik Pengendalian keamanan fisik diterapkan untuk mencegah penggunaan data atau file dan program komputer oleh orang yang tidak seharusnya menggunakannya. Dalam observasi diketemukan bahwa sudah terdapat auto lock apabila komputer ditinggal terlalu lama dan apabila login aplikasi juga ditinggal terlalu lama akan otomatis auto logout (ada section) SUB AREA 3 : Pengendalian Lingkungan Pengendalian lingkungan sangan erat kaitannya dengan Contingency Planning (CP) dan Disaster Recovery Plan (DRP). Pengujian lebih lanjut terhadap CP dan DRP diatur dalam Prosedur Audit CP & DRP. Sudah terdapat pengendalian untuk menjaga ruang server dari api atau kebakaran, dengan alarm kebakaran yang akan berbunyi jika ada asap di dalam ruangan. Selain itu di dalam ruangan terdapat alat pemadam kebakaran yang berfungsi otomatis apabila alarm kebakaran berbunyi. 56

9 Prosedur darurat untuk pengamanan ruang server sudah tersedia yang meliputi cara penggunaan alat pemadam kebakaran, cara mengungsikan server dan sudah pernah dilakukan simulasi kebakaran SUB AREA 4 : Akses Logis ke dalam Sistem dan Aplikasi Pada PT ANTAM (Persero) Tbk sudah terdapat pembatasan akses dan administrasi user ID yang dirancang oleh bagian TI. Pembatasan ini menggunakan sistem ID dan password yang apabila terjadi kesalahan pengisian password sebanyak 3 kali, ID yang bersangkutan tidak akan di-hold dan bagi user tersebut sistem menjadi tetap aktif. Selain itu sudah terdapat audit trail log dan password rutin diperbaharui setiap sebulan sekali dan log audit trail juga rutin dievaluasi. Yang dapat mengakses aplikasi ICT secara full hanya atasan dan bagian infrastruktur, bagian keamanan dan bagian jaringan. Sedangkan untuk bagian keuangan hanya dapat mengakses pembayaran, dokumen keuangan dan dokumen invoice. 1.4 Kesimpulan Pengendalian Umum Tabel 4 : Simpulan pengendalian umum No. Pengendalian Umum Simpulan Keterangan 1. Pengendalian manajemen Cukup a. Sudah terdapat IT strategy, kebijakan dan prosedur tertulis. b. Arah kebijakan TI sudah didefinisikan dengan jelas dan sudah dikomunikasikan kepada staff. c. Sudah terdapat keseragaman arsitektur informasi. d. Tenaga kerja bagian TI sudah 57

10 cukup dalam hal jumlah dan kompetensi. e. Sudah terdapat monitoring atas kinerja bagian TI. f. Sudah ada quality assurance dan analisa resiko. g. Sudah terdapat manajemen proyek. h. Dokumentasi sudah lengkap dan sudah memenuhi standar. 2. Pengendalian fisik Cukup Sudah terdapat auto lock dan auto logout. 3. Pengendalian lingkungan 4. Akses logis ke dalam sistem dan aplikasi Cukup Cukup a. Sudah ada peraturan tertulis mengenai persyaratan ruang server. b. Sudah terdapat peralatan yang cukup untuk menjaga kondisi ruangan server. c. Sudah ada Disaster Recovery Planning (DRP) dan Disaster Recovery Center (DRC). Sudah terdapat aturan pembatasan akses logis ke dalam sistem dan aplikasi walaupun terbatas. 58

11 4.5 Identifikasi Business Goals Pada tahap awal, yang akan dilakukan adalah mengidentifikasi tujuan bisnis dan sasaran PT ANTAM (Persero) Tbk, yang akan diselaraskan dengan business goals yang berlaku pada CobIT 4.1. sesuai dengan visi, misi, tujuan dan strategi perusahaan. Adapun tujuan dan sasaran PT Antam (Persero) Tbk adalah sebagai berikut: Tabel 5 : Business Goals (Tujuan dan sasaran) berdasarkan strategi, visi dan misi PT ANTAM (Persero) Tbk Tujuan Sasaran Kebijakan Meningkatkan nilai perusahaan Tingkat pertumbuhan pendapatan Memaksimalisasi output produksi Mempertahankan pertumbuhan Pengembangan proyekproyek yang solid, aliansi strategis, akuisisi,. Peningkatan kualitas dan nilai cadangan Tidak hanya menjual bahan mentah, tetapi beralih untuk lebih meningkatkan kegiatan pemrosesan Mempertahankan kekuatan keuangan perusahaan Peningkatan perolehan pendapatan 59

12 Menjadi korporasi global berbasis pertambangan Dengan memiliki pertumbuhan sehat dan standar kelas dunia Menjadi perusahaan pemain global Membangun dan menerapkan praktik-praktik terbaik kelas dunia Tingkat kesehatan perusahaan Menciptakan keunggulan operasional berbasis biaya rendah dan teknologi tepat guna Meningkatkan keunggulan kompetitif Mengolah cadangan yang ada dan yang baru Memaksimalkan nilai pemegang saham Mendorong pertumbuhan yang sehat dengan mengembangkan bisnis berbasis pertambangan, diversifikasi dan itegrasi selektif Bidang SDM Meningkatkan kompetensi dan kesejahteraan pegawai serta mengembangkan budaya organisasi berkinerja tinggi 60

13 Berikut ini merupakan tabel Business Goals menurut CobIT 4.1 Tabel 6 : Business Goals menurut CobIT 4.1 Financial Perspective 1 Provide a good return on investment of IT enabled business risk 2 Managed IT-related business risk 3 Improve corporate governance and transparency Customer Perspective 4 Improve customer orientation and service 5 Offer competitive products and service 6 Establish service continuity and availability 7 Create agility in responding to changing business requirement 8 Achieve cost optimization of service delivery 9 Obtain reliableand and useful information for strategic decision Making Internal Perspective 10 Improve and maintain business process functionality 11 Lower process cost 12 Provide compliance with external laws, regulations and Contracts 13 Provide compliance with internal policies 14 Manage business change 15 Improve and maintain operational and staff productivity Learning & Growth Perspective 16 Manage product and business innovation 17 Acquire and maintain skilled and motivated people 61

14 Berikut ini merupakan tabel hasil dari pemetaan tujuan dan sasaran bisnis PT ANTAM (Persero) Tbk yang sesuai dengan business goals yang berlaku di CobIT: Tabel 7 : Hasil pemetaan business goals PT ANTAM (Persero) Tbk dan business goals CobIT No. Tujuan dan Sasaran PT ANTAM (Persero) Tbk No. Business Goals CobIT Business Goals Perspective CobIT 1. Meningkatkan nilai perusahaan melalui penurunan biaya 1. Provide a good returm on investment of IT enabled business risk Financial Persepective 11. Lower process cost Internal Perspective 2. Meningkatkan pertumbuhan pendapatan melalui maksimalisasi output 1. Provide a good returm on investment of IT enabled business risk Financial Persepective 15. Improve and maintain operasional and staff Internal Perspective productivity 3. Mempertahankan pertumbuhan dengan mengembangkan proyekproyek yang solid, aliansi, strategis, akuisisi Improve and maintain business process functionality Manage product and business innovation Internal Perspective Learning & Growth Perspective 4. Meningkatkan kualitas dan nilai cadangan dengan 5 Offer competitive Customer 62

15 meningkatkan kegiatan pemrosesan 10. products and service Improve and maintain business process functionality Perspective Internal Perspective 5. Mempertahankan kekuatan keuangan perusahaan dengan meningkatkan perolehan pendapatan 1. Provide a good returm on investment of IT enabled business risk Financial Perspective 6. Menjadi korporasi global berbasis pertambangan dengan memiliki pertumbuhan sehat dan standar kelas dunia Achieve cost optimization of service delivery Improve and maintain business process functionality Customer Perspective Internal Perspective 7. Menjadi perusahaan pemain global dengan membangun dan menerapkan praktikpraktik kelas dunia Achieve cost optimization of service delivery Improve and maintain business process functionality Customer Perspective Internal Perspective 8. Meningkatkan kesehatan perusahaan dengan menciptakan keunggulan operasional berbasis biaya rendah 11. Lower process cost Internal Perspective 63

16 9. Meningkatkan keunggulan kompetitif dengan mengolah cadangan yang ada dan yang baru Offer competitive products and service Improve and maintain business process functionality Customer Perspective Internal Perspective 10. Memaksimalkan nilai pemegang saham dengan mengembangkan bisnis berbasis pertambangan diversifikasi dan integrasi selektif Establish service continuity and availability Manage Business Change Customer Perspective Internal Perspective 11. Meningkatkan kompetensi dan kesejahteraan pegawai serta mengembangkan budaya organisasi 15. Improve and maintain operasional and staff productivity Internal Perspective 17. Acquire and maintain skilled and motivated people Learning & Growth Perspective Dari hasil pemetaan di atas, dapat diketahui bahwa business goals perusahaan telah mencakup keempat perspektif yang ada dalam CobIT, penjelasannya adalah sebagai berikut: a. Sasaran strategis perusahaan adalah meningkatkan pertumbuhan pendapatan. Sasaran ini dipadankan dengan business goals pertama 64

17 pada Perspektif Keuangan, yaitu menghasilkan ROI yang baik dari investasi bisnis, dengan TI sebagai provider yang mendukung strategi perusahaan. Selain itu, peningkatan pertumbuhan pendapatan juga dilakukan melalui menurunkan tingkat biaya agar dapat memaksimalisasi output produksi perusahaan. Hal ini berkaitan dengan business goals CobIT kelima belas pada Perspektif Internal, yaitu meningkatkan operasional dan produktivitas staf. b. Sasaran perusahaan yang keempat, yaitu meningkatkan kualitas dan nilai cadangan dari sekedar menjual bahan mentah dan beralih untuk lebih meningkatkan kegiatan pemrosesan. Sasaran ini berkaitan dengan business goals CobIT pada Perspektif Pelayanan yang kelima dan Perspektif Internal kesepuluh, yaitu memberikan produk dan pelayanan yang kompetitif serta meningkatkan dan mempertahankan fungsi proses bisnis. c. Sasaran perusahaan yang kedelapan, yaitu menciptakan keunggulan operasional berbasis biaya rendah dan teknologi tepat guna dengan mengutamakan kesehatan dan keselamatan kerja serta lingkungan hidup. Sasaran ini turut memenuhi business goals CobIT kesebelas pada Perspektif Internal, yaitu biaya proses rendah. d. Sasaran perusahaan yang kesebelas, yaitu meningkatkan kompetensi dan kesejahteraan pegawai serta mengembangkan budaya organisasi berkinerja tinggi. Sasaran ini sama dengan business goals CobIT yang kelima belas pada Perspektif Internal dan yang ketujuh belas pada Pesrpektif Pembelajaran dan Pertumbuhan, yaitu memberikan produk 65

18 dan pelayanan yang kompetitif serta memelihara kemampuan dan motivasi karyawan. 4.6 Identifikasi IT Goals Tahap kedua yang dilakukan setelah mengidentifikasi business goals adalah dengan mengidentfikasi IT Goals, yang mana CobIT sendiri telah memetakan business goals dengan IT Goals yang ada, sehingga dari pemetaan tersebut dapat dilihat IT Goals apa saja yang nantinya dapat menunjang business goals perusahaan. Hal ini dapat kita lihat pada tabel berikut: Tabel 8 : Linking business goals to IT goals Business Goals IT Goals Financial Perspective 1 Provide a good returm on investment of IT enabled business risk Customer Perspective 5 Offer competitive products and service 6 Establish service continuity and availability 8 Achieve cost optimization of service delivery Internal Perspective 10 Improve and maintain business process functionality Lower process cost Manage business change Improve and maintain operasional and staff 66

19 productivity Learning & Growth Perspective 16 Manage product and business innovation Acquire and maintain skilled and motivated people 9 Adapun penjelasan dati IT Goals CobIT yang teridentifikasi adalah sebagai berikut: Tabel 9 : CobIT IT goals yang teridentifikasi di PT ANTAM (Persero) Tbk 1 Respond to business requirements in alignment with business strategy 5 Create IT agility 6 Define how business functional and control requirements are translated in effective and efficient automated solutions 7 Acquire and maintain integrated and standardised application systems 8 Acquire and maintain an integrated and standardised IT infrastructure 9 Acquire and maintain IT skills that respond to the IT strategy 10 Ensure mutual satisfaction of third-party relationships 11 Seamlessly integrate applications and technology solutions into business processes 13 Ensure proper use and performance of the applications and technology solutions 15 Optimise the IT infrastructure, resources and capabilities 16 Reduce solution and service delivery defects and rework 22 Ensure minimum business impact in the event of an IT service disruption or change 23 Make sure that IT services are available as required 24 Improve IT's cost-efficiency and its contribution to business profitability 25 Deliver projects on time and on budget meeting quality standards 28 Ensure that IT demonstrates cost-efficient service quality, continuous improvement and readiness for future change 67

20 4.7 Identifikasi IT Process Pada tahapan selanjutnya ialah menetapkan IT Process yang sesuai dengan IT Goals sesuai dengan studi kasus. Adapun IT Process yang berlaku ialah sebagai berikut: Tabel 10 : Linking IT Goals to IT Process di PT ANTAM (Persero) Tbk 1 Respond to business requirements in alignment with business strategy PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 5 Create IT agility PO2 PO4 PO7 AI3 6 Define how business functional and control requirements are translated in effective and efficient automated solutions 7 Acquire and maintain integrated and standardised application systems AI1 AI2 AI6 PO3 AI2 AI5 8 Acquire and maintain an integrated and standardised IT infrastructure 9 Acquire and maintain IT skills that respond to the IT strategy 10 Ensure mutual satisfaction of thirdparty relationships AI3 PO7 DS2 AI5 AI5 11 Seamlessly integrate applications and technology solutions into business processes PO2 AI4 AI7 68

21 13 Ensure proper use and performance of the applications and technology solutions 15 Optimise the IT infrastructure, resources and capabilities 16 Reduce solution and service delivery defects and rework 22 Ensure minimum business impact in the event of an IT service disruption or change 23 Make sure that IT services are available as required PO6 AI4 AI7 DS7 DS8 PO3 AI3 DS3 DS7 DS9 PO8 AI4 AI6 AI7 DS10 PO6 AI6 DS4 DS12 DS3 DS4 DS8 DS13 24 Improve IT's costefficiency and its contribution to business profitability 25 Deliver projects on time and on budget meeting quality standards PO5 PO8 DS6 PO10 28 Ensure that IT demonstrates costefficient service quality, continuous improvement and readiness for future change PO5 DS6 ME1 ME4 69

22 Jika disusun menurut domainnya, maka IT Process di PT Antam (Persero) Tbk adalah sebagai berikut: Tabel 11 : Daftar IT Process PT ANTAM (Persero) Tbk IT Domain Plan and Organise Acquire and Implementation Deliver and Support Monitor and Evaluation IT Process PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO10 AI1, AI2, AI3, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS8, DS9, DS10, DS12, DS13 ME1, ME4 Adapun deskripsi tiap-tiap IT Process ialah sebagai berikut: Tabel 12 : Deskripsi IT Process yang teridentifikasi Domain Deskripsi Plan and Organise PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO10 Define Strategic IT Plan Define the information architecture Determine technological direction Define IT process, organization and relationship Manage the IT Investment Communicate management aims and direction Manage IT human Resources Manage quality Manage projects Acquire and Implementation AI1 Identify automated solution 70

23 AI2 AI3 AI4 AI5 AI6 AI7 Acquire and maintain application software Acquire and maintain technology infrastructure Enable operation and use Procure IT resources Manage changes Install and accredit solution and changes Deliver and Support DS1 DS2 DS3 DS4 DS6 DS7 DS8 DS9 DS10 DS12 DS13 Define and manage service levels Manage third-party services Manage performance and capacity Ensure continuous service Identify and allocate costs Educate and train users Manage service desk and incidents Manage the configuration Manage problems Manage the physical environtment Manage operations Monitor and Evaluation ME1 ME4 Monitor and evaluate IT performance Provide IT governance 71

24 4.8 IT Governance Maturity Level Penentuan tingkat kematangan (maturity level) bukan hanya menggambarkan pengukuran sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik. Lebih jauh lagi, tingkat kedewasaan tersebut seharusnya dapat digunakan untuk peningkatan kesadaran akan kepentingan peningkatan pengelolaan proses TI sekaligus pengidentifikasikan prioritas dalam peningkatan yang dilakukan. Tingkat kematangan yang dimaksud merupakan representasi kematangan/ kedewasaan Proses TI yang berlangsung di perusahaan (dalam bentuk nilai/ angka). Adapun penentuan tingkat kematangan akan dilakukan pada tiap proses TI dan dilakukan terhadap semua level, mulai dari level 0 (nol) atau non- existence, hingga level 5 (lima) atau optimised, melalui wawancara langsung perihal pelaksanaan Proses TI dengan divisi ICT di PT ANTAM (Persero) Tbk. Di dalam subbab ini penulis menjelaskan setiap proses dan level menurut CobIT 4.1, dibandingkan dengan yang ada di perusahaan untuk kemudian diambil kesimpulannya. Berikut hasil perhitungan maturity level berdasarkan proses CobIT 4.1 pada PT ANTAM (Persero) Tbk: Tabel 13 : IT Governance Maturity Level pada PT ANTAM (Persero) Tbk Domain Process Maturity Level Description (0-5) PO1 Define IT Strategic Plan 5 Optimised. Sudah terdapat kesadaran akan perlunya IT strategic plan dan sudah terdapat IT strategic plan yang tertulis. 72

25 Terdapat arah kebijakan TI yang jelas. PO2 Define The Information Architecture 3 Defined. Arsitektur informasi telah diusahakan secara konsisten pada semua level di perusahaan. Pengembangan yang berkelanjutan untuk arsitektur informasi diperbaharui secara terus menerus dan nilainya selalu ditingkatkan untuk kepentingan bisnis. PO3 Determine the technological direction 4 Manageable and Measured. Pihak manajemen menyadari pentingnya rencana infrasturuktur teknologi. Proses pengembangan dari perencanaan infrastruktur teknologi cukup baik dan selaras dengan rencana strategi TI. PO4 Define the IT processes, Organisation and Relationship 4 Manageable and Measured. Sudah terdapat organisasi bagian TI. Peran dan tanggung jawab bagian SIM dalam perusahan dan pihak ketiga telah ditetapkan. Job description dibuat masing-masing bidang hingga ke bagian SIM di dalam perusahaan dan telah dikembangkan, didokumentasikan, dikomunikasikan, dan diarahkan sesuai strategi TI yang ada. PO5 Manage the IT investment 4 Manageable and Measured. Setiap 73

26 investasi TI perlu mendapatkan persetujuan dari dewan direksi di dalam mengontrol biaya serta pertimbangan manfaat melalui analisis keuntungan jangka panjang telah dilakukan sehubungan dengan IT investment and budgeting. Proses seleksi investasi yang dilakukan sudah mencakup bisnis utama dan berbagai isu teknologi. PO6 Communicate management aim and direction 4 Manageable and Measured. Fungsi TI sudah diterapkan secara praktis di bagianbagian dalam perusahaan dengan baik, termasuk dalam berkomunikasi tentang tujuan dan arah manajemen. PO7 Manage IT human resources 5 Optimised. Perencanaan proses sumber daya manusia (SDM) sudah ditentukan dan terdokumentasi. Terdapat pendekatan strategis untuk merekrut dan mengelola IT personnel. Sudah ditetapkan rencana training resmi untuk SDM TI. PO8 Manage Quality 4 Manageable and Measured. Sudah terdapat perencanaan quality management service (QMS) di dalam organisasi TI. Manajemen dan staff TI sudah menyadari pentingnya akan kebutuhan QMS. Proses QMS ditujukan untuk seluruh proses 74

27 internal perusahaan PO9 Asses and manage IT risks 3 Defined. Sudah terdapat framework, prosedur dan standar tertulis mengenai IT risks dan selalu dipantau secara rutin. PO10 Manage projects 4 Manageable and Measured. Manajemen sudah menyadari perlunya untuk menentukan manajemen proyek. Penentuan IT projects sudah melibatkan senior manajemen, stakeholders, customer dan user. AI1 Identify Automated Solutions 5 Optimised. Continous Improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi TI telah ditetapkan untuk semua proyek, baik yang berskala besar maupun berskala kecil. Setiap divisi di dalam perusahaan dapat memberikan usulan mengenai kebutuhan TI. AI2 Acquire and Maintain application software 4 Manageable and Measured. Manajemen sudah menyadari pentingnya memelihara application software dan sudah melaksanakannya dengan baik. AI3 Acquire and Maintain technology infrastructure 4 Manageable and Measured. Perusahaan sudah menyadari pentingnya kebutuhan untuk mengatur infrastruktur teknologi. 75

28 Sudah terdapat sebagian proses yang jelas terdefinisi dan dipahami dalam pengendalian/pengelolaan infrastruktur. AI4 Enable operation and use 4 Manageable and Measured. Sudah terdapat framework untuk memelihara prosedur dan penggunaan material yang didukung oleh manajemen TI. Sudah terdapat program training untuk bisnis maupun user. Pengembangan proses terintegrasi dengan proses bisnis dan telah terdefinisi sesuai dengan permintaan perusahaan. AI5 Procure IT Resources 3 Defined. Perusahaan sudah menyadari pentingnya kebutuhan standar, kebijakan, dan prosedur pengadaan IT resource. Kontrak dan perjanjian kerjasama untuk acquisition IT resources sudah diatur, dikembangkan, dan dikomunikasikan. AI6 Manage changes 4 Manageable and Measured. Perubahan meliputi penambahan dan perawatan darurat, yang menghubungkan infrastruktur dan aplikasi dalam lingkungan produksi telah diatur secara jelas sesuai dengan aturan yang telah dikendalikan. 76

29 AI7 Install and accredit solution and changes 4 Manageable and Measured. Manajemen sudah menyadari pentingnya kebutuhan untuk menguji solusi. Sudah ada prosedur standar yang telah ditentukan, diatur dan dikembangkan untuk IT installation and accreditation process. DS1 Define and Manage service level 4 Manageable and Measured. Sudah terdapat Service Level Agreement (SLA) dan terus mengadakan perbaikan terhadap aplikasi helpdesk. DS2 Manage third party services 4 Manageable and Measured. Prosedur sudah terdokumentasi dengan baik untuk mengelola third party services dengan proses-proses yang jelas. DS3 Manage performance and capacity 3 Defined. Manajemen sudah mengatur perencanaan untuk performance dan kapasitas menurut analisa dari KPI dan KGI, sudah ada prosedur dan standar tertulisnya. DS4 Ensure continous service 4 Manageable and Measured. Manajemen sudah memahami pentingnya kebutuhan kelancaran servis yang berkelanjutan. Struktur data tentang servis berkelanjutan telah dikumpulkan, dianalisa, dilaporkan dan dilakukan suatu tindakan. 77

30 DS5 Ensure System Security 3 Defined. Sudah terdapat standar dan prosedur mengenai keamanan sistem serta terdapat ketentuan tertulis mengenai penanggung jawab & model keamanan. DS6 Identify and allocate cost 4 Manageable and Measured. Sudah terdapat ketentuan dan dokumentasi tentang informasi biaya, alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan pelaksanaannya sesuai dengan yang telah direncanakan. DS7 Educate and train user 5 Optimised. Program pendidikan training telah direncanakan dan dikomunikasikan, kebutuhan pelatihan baik bagi karyawan maupun Direksi ditetapkan sesuai dengan kebutuhan operasional bisnis. Pelatihan dan proses pendidikan selalu didokumentasikan. Anggaran, sumber daya, fasilitas dan trainer telah ditentukan untuk mendukung program pelatihan dan pendidikan.. DS8 Manage service desk and incidents 5 Optimised. Service desk function dan incident management process telah diatur dan diorganisir dengan baik, berorientasi pada customer service. Adanya pemahaman yang cukup terhadap fungsi 78

31 Help Desk, dimana di dalamnya mencakup isu mengenai masalah apa saja yang dialami oleh user dan pemecahannya, oleh siapa dan telah berhasil atau belum agar dapat diketahui dan ditindak lanjuti, kemudian dilakukan reporting. DS9 Manage the configuration 4 Manageable and Measured. Manajemen sadar akan perlunya pengendalian konfigurasi TI dan sudah meninjau data konfigurasi TI secara berkala. DS10 Manage problems 4 Manageable and Measured.. Pengetahuan umum mengenai proses pemecahan masalah sudah ada dan sudah diaktualisasikan dalam bentuk standar dan prosedur. DS11 Manage data 3 Defined. Manajemen memiliki pengetahuan umum mengenai standarisasi data input maupun output. Sudah terdapat standar dan prosedur tertulis mengenai hal tersebut. DS12 Manage the physical environment 4 Manageable and Measured. Manajemen telah sadar dan melakukan pengelolaan fasilitas TI dengan beberapa prosedur formal mengenai keamanan dan akses. 79

32 DS13 Manage operations 5 Optimised. Manajemen telah memiliki pengetahuan umum atas manajemen operasi komputer dan sudah terdapat standar yang memadai. ME1 Monitor and evaluate IT performance 5 Optimised. Proses peningkatan kualitas secara terus menerus dilakukan dan dikembangkan di perusahaan untuk memperbaharui standard an kebijakan pengawasan perusahaan, serta penggabungan praktek-praktek industri. ME2 Monitor and evaluate internal control 3 Defined. Manajemen memiliki kesadaran atas pengawasan pengendalian internal. Manajemen melakukan rapat koordinasi secara rutrin setiap antar operasional dan juga menggunakan laporan pengendalian untuk melakukan koreksi. ME3 Ensure compliance with external requirements 3 Defined. Manajemen memiliki pengetahuan atas peraturan persyaratan external. Sudah terdapat standar dan prosedur mengenai hal tersebut ME4 Provide IT Governance 5 Optimised. Manajemen menyadari pentingnya pengelolaan IT, sudah terdapat standar dan prosedur. 80

33 4.9 Opini Audit Tabel 14 : Jenis-jenis opini audit Opini Description Seluruh proses telah di dokumentasikan dan telah dikomunikasikan dan Unqualified dilaksanakan berdasarkan suatu metode tertentu. Sudah menemukan pola pengembangan yang terarah, berjalan dengan pola Qualified yang sama. Adverse Disclaimer Ada kegiatan penyusunan sistem yang terarah. Tahap awal, komputerisasi dilakukan secara alamiah, tidak ada metodologi. Berikut opini audit berdasarkan proses CobIT pada PT ANTAM (Persero) Tbk: Tabel 15 : Opini audit proses CobIT PT ANTAM (Persero) Tbk Domain Process Opini Temuan PO1 Define IT Strategic Plan Unqualified Sudah terdapat strategi jangka panjang maupun pendek PO2 Define The Information Architecture Qualified Sudah terdapat arsitektur informasi, namun belum berdasarkan intuisi. PO3 Define The Technological Qualified Sudah terdapat pengembangan Direction perencanaan teknologi infrasturktur PO4 Define the IT Organisation and Qualified Sudah terdapat struktur organisasi Relationship bagian TI PO5 Manage the Information Qualified Sudah ada anggaran TI 81

34 PO6 Technolgy Investment Communicate Management Aim and Direction Qualified Sudah melakukan komunikasi kepada staf mengenai arah kebijakan TI perusahaan. PO7 Manage Human Resources Unqualified Sudah ada dan sudah dilaksanakan dengan baik PO8 Manage Quality Qualified Sudah terdapat perencanaan Quality Management Service (QMS) PO9 Assess Risk Qualified Sudah dilakukan, sudah terdapat framework, standard an prosedur tertulis. PO10 Manage Projects Qualified Sudah memiliki metodologi pengembangan aplikasi AI1 Identify Aotomated Solutions Unqualified Continous Improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi TI telah ditetapkan untuk semua proyek AI2 Acquire and Maintain Application Software Qualified Sudah menerapkan application control business dengan baik dan AI3 Acquire and Maintain Technology Infrastructure Qualified secara akurat. Sudah terdapat sebagian proses yang jelas terdefinisi dan dipahami dalam pengendalian/pengelolaan infrastruktur. AI4 Acquire and Maintain Qualified Sudah terdapat framework untuk 82

35 Procedure memelihara prosedur dan penggunaan material yang didukung oleh manajemen TI. AI5 Procure IT Resources Qualified Sudah terdapat kebutuhan standar, kebijakan, dan prosedur pengadaan IT resource. AI6 Manage Changes Qualified Sudah dilakukan dan diatur secara jelas AI7 DS1 Install and accredit solution and changes Define and Manage Service Level Qualified Sudah terdapat prosedur dan kebijakan untuk IT installation and accreditation process Qualified Sudah terdapat Service Level Agreement (SLA) DS2 Manage Third Part Services Qualified Sudah terdapat prosedur untuk mengelola third party services. DS3 Manage Performance and Capacity Qualified Sudah diatur menurut analisa dari KPI dan KGI, sudah ada prosedur tertulis. DS4 Ensure Continous Service Qualified Struktur data tentang servis berkelanjutan telah dikumpulkan, dianalisa, dilaporkan dan dilakukan suatu tindakan. DS5 Ensure System Security Qualified Sudah dilakukan dan sudah ada prosedur dan standar tertulis. DS6 Identify and Allocate Cost Qualified Sudah dilakukan dan terdapat ketentuannya DS7 Educate and Train User Unqualified Sudah dilakukan dan terdapat 83

36 ketentuannya DS8 Assist and Advice Customer Unqualified Service desk function dan incident management process telah diatur dan diorganisir dengan baik, berorientasi pada customer service. DS9 Manage and Configuration Qualified Sudah meninjau data konfigurasi TI secara berkala. DS10 Manage Problem and Incidents Qualified Sudah ada dan sudah diaktualisasikan dalam bentuk standar dan prosedur. DS11 Manage data Qualified Sudah dilakukan, sudah terdapat standard an prosedur DS12 Manage Facilities Qualified Sudah dilakukan DS13 Manage Operations Unqualified Sudah dilakukan ME1 Monitor the Process Unqualified Sudah dilakukan ME2 Monitor and evaluate internal Qualified Sudah dilakukan, perlu standar control yang lebih jelas ME3 Ensure compliance with external requirements Qualified Sudah dilakukan, sudah terdapat standar dan prosedur ME4 Provide IT Governance Unqualified Sudah terdapat standar dann prosedur 84

37 Ringkasan dari keseluruhan opini audit di atas adalah sebagai berikut : Opinion Total Unqualified 9 Qualified 25 Disclaimer 0 Adverse 0 Sehingga penulis dapat menyimpulkan dari perbandingan perolehan opini tersebut, bahwa opini umum untuk PT ANTAM (Persero) Tbk adalah Qualified, yaitu sudah menemukan pola pengembangan yang terarah dan berjalan dengan pola yang sama Simpulan Maturity Level Berdasarkan hasil analisis CobIT penerapan proses CobIT pada perusahaan berada pada level rata-rata 3,9. Pada level kematangan ini, secara keseluruhan proses TI di PT ANTAM (Persero) Tbk berada pada skala rata-rata 3, yaitu Defined, yang berarti bahwa seluruh proses telah didokumentasikan dan telah dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik, namun proses evaluasi belum dilakukan secara menyeluruh, ssehingga masih ada kemungkinan dapat terjadinya penyimpangan. Untuk setiap domain dari CobIT framework 4.1, level kematangan dalam pengelolaan TI dapat dilihat pada tabel sebagai berikut: 85

38 Tabel 16 : Level Tata Kelola TI di PT ANTAM (Persero) Tbk Domains Level PO (Plan and Organise) 3,6 AI (Acquire and Implement) 4 DS (Deliver and Support) 4 ME (Monitor and Evaluate) 4, Rata-rata 3, Pengendalian Aplikasi Pengendalian Batasan (Boundary Controls) Kendali batasan meyakinakan bahwa Sistem Aplikasi dilengkapi dengan login akses berupa password dan username serta terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. Adapun temuan audit yang dihasilkan dari Pengendalian Batasan (Boundary Controls) adalah: a. Sistem Aplikasi dilengkapi dengan login akses berupa password dan username b. Password pada sistem aplikasi tidak terlihat (invisible) c. Login akses seperti username dan password diencryption d. Sistem aplikasi menampilkan pesan jika verivikasi login tidak valid e. Sistem aplikasi hanya dapat diakses oleh orang-orang yang terotorisasi f. Telah terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi 86

39 g. Sistem aplikasi dilengkapi dengan pembatasan sistem umur password dan menampilkan pesan jika password tersebut sudah berakhir (expired) h. Belum terdapat pembatasan sistem dalam penginputan login akses (username dan password) dan beberapa kali batas salah penginputan login, namun aplikasi tidak memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi tersebut). i. Sistem aplikasi jelas ruang lingkupnya sesuai dengan prosedur Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian batasan (Boundary controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Controls) Berikut resiko dan rekomendasi atas pengendalian batasan (Boundary Tabel 17 : Tabel resiko dan rekomendasi Boundary Controls Resiko Rekomendasi Dengan tidak adanya batasan sistem kesalahan dalam penginputan login akses (password dan username), hal ini akan memberikan kemudahan bagi orang-orang yang tidak memiliki otoritas untuk mengakses ke sistem aplikasi. Sebaiknya Sistem Aplikasi memberikan batasan sistem dalam penginputan login akses (password dan username). Kesalahan penginputan sebaiknya dibatasi sebanyak 3 kali, jika melewati batas tersebut maka sistem secara otomatis akan keluar dari aplikasi. 87

40 Pengendalian Masukan (Input Controls) Kendali input myakinkan bahwa transaksi di-input ke dalam dan diterima oleh komputer, diproses hanya sekali, tanpa duplikat dan kesalahan. Adapun temuan audit yang dihasilkan dari Pengendalian Masukan (Input Controls) adalah: a. Tidak terdapat pemisahan antara pihak yang melakukan input data dengan yang mengeluarkan output laporan b. Aplikasi menampilkan error message, jika terjadi kesalahan penginputan c. Sistem aplikasi dilengkapi dengan fasilitas penanganan kesalahan (menu help) d. Entri data selalu dilakukan oleh karyawan yang tetap dan berwenang serta ditunjuk oleh pimpinan e. Delete dan update hanya dapat dilakukan oleh user tertentu yang diberi otoritas f. Penggunaan bahasa dan tampilan layar untuk input data sudah baik, jelas, dan mudah dimengerti serta tampilan warna layar di design agar mata tidak cepat lelah dan dapat mengurangi kesalahan penginputan g. Kesalahan yang terlanjur di input dapat langsung di delete yang dilakukan oleh administrator dengan langsung eksekusi melalui database, dengan seizin pihak berwenang h. Sistem aplikasi memiliki menu konfirmasi terhadap data sebelum data disimpan 88

41 i. Tidak terdapat fungsi peringatan dari Sistem Aplikasi jika belum di backup j. Data yang dimasukkan ke dalam program aplikasi selalu berdasarkan dokumen sumber k. Petugas entri tidak membubuhkan tanda check ( ) setelah dokumen sumber di input l. Terdapat tombol save, delete, dan cancel pada bagian bawah tampilan layar m. Dilakukan penyimpanan atau pengarsipan terhadap dokumen sumber yang telah digunakan berdasarkan periode dan jenis dokumen n. Terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber o. Metode penginputan data ke dalam database menggunakan real-time processing p. Waktu respon di setiap penginputan data ke dalam Sistem Aplikasi cepat, karena menggunakan memori yang berkapasitas besar q. Terdapat prosedur persetujuan penginputan data ke dalam Sistem Aplikasi r. Setiap ada perubahan data manual tidak langsung dilakukan penyesuaian dengan data komputer karena harus ada persetujuan dari pihak yang berwenang 89

42 s. Tidak ada fasilitas menu dalam Sistem Aplikasi yang tidak efektif dalam penggunaanya t. Tidak terdapat perubahan warna pada interface jika terjadi kesalahan penginputan data, Sistem Aplikasi hanya menampilkan error message u. Fasilitas menu dalam Sistem Aplikasi sudah memenuhi kebutuhan user Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian masukan (Input Controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Berikut resiko dan rekomendasi atas pengendalian masukan (Input Controls) Tabel 18 : Tabel resiko dan rekomendasi Input Controls Resiko Rekomendasi Akibat tidak adanya perubahan warna pada tampilan layar, jika terjadi kesalahan penginputan data maka user tidak mengetahui adanya kesalahan pada saat penginputan, sehingga mengurangi keefektifan kerja user Sistem Aplikasi sebaiknya dilengkapi dengan fasilitas perubahan warna pada tampilan layar jika terjadi kesalahan penginputan, tidak hanya menampilkan error message saja agar lebih efektif lagi. Petugas entri data tidak selalu membubuhkan tanda check ( ) setelah dokumen sumber selesai di input, Sebaiknya petugas entri data mulai membiasakan memberikan tanda check ( ) setelah dokumen sumber selesai di 90

43 sehingga terdapat kemungkinan terjadinya penginputan yang berulang input agar dapat menghindari penginputan yang berulang kali kali Pengendalian Proses (Process Controls) Kendali pemrosesan meyakinkan bahwa transaksi: diterima oleh komputer, diproses dengan logika yang valid, melalui seluruh fase pemrosesan, dan di update ke file dan data yang benar. Adapun temuan audit yang dihasilkan dari Pengendalian Proses (Process Controls) adalah: a. Data tidak dapat ditambahkan, dihapus, dicopy, dihilangkan, atau diubah dengan cara yang illegal b. Sistem aplikasi tidak dapat mencegah atau mendeteksi data masukan yang tidak valid c. Data tidak dapat diproses dengan tidak benar, karena data yang di-input berasal dari dokumen sumber yang terotorisasi d. Sistem aplikasi menggunakan rollback untuk mencegah atau mendeteksi kehilangan data selama pemrosesan e. Sistem Aplikasi mampu mengecek keseluruhan pemrosesan yang terjadi, apakah data telah benar dan lengkap. Pengecekan dilakukan dengan menggunakan laporan pendukung dan sistem aplikasi. 91

44 f. Kesalahan dalam pemrosesan tidak selalu dengan segera diperbaiki dengan cepat g. Setiap proses yang dilakukan telah terekam di dalam Sistem Aplikasi Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian proses (Process Controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya. Berikut resiko dan rekomendasi atas pengendalian proses (Process Controls) Tabel 19 : Tabel resiko dan rekomendasi Process Controls Resiko Rekomendasi Ketidakefektifan Sistem aplikasi yang tidak dapat mencegah atau mendeteksi data masukan yang tidak valid. Sebaiknya Sistem Aplikasi dibuat dapat mencegah atau mendeteksi data masukan yang tidak valid dengan management user agar lebih efektif dalam pelaksanaanya. Kesalahan dalam pemrosesan tidak selalu dengan segera diperbaiki dengan cepat. Sebaiknya apabila terdapat kesalahan dalam pemrosesan dapat dengan segera diperbaiki dengan cepat agar lebih efektif dan efisien dalam pelaksanaanya. 92

45 Pengendalian Keluaran (Output Controls) Kendali output meyakinkan bahwa data output: dilaporkan dengan cara yang benar, dapat dilihat/tersedia hanya untuk personil yang memiliki otoritas serta ditahan atau dihancurkan secara wajar/memadai. Adapun temuan audit yang dihasilkan dari Pengendalian Keluaran (Output Controls) adalah: a. Sistem Aplikasi mampu menghasilkan laporan yang dibutuhkan b. Sistem pengawasan catatan untuk setiap laporan yang terjadi dilakukan dengan pengecekan ulang laporan c. Terdapat prosedur permintan laporan rutin atau permintaan laporan baru pada Sistem Aplikasi d. Pengecekan ulang laporan dilakukan dengan melakukan pemeriksaan secara manual e. Laporan yang dihasilkan oleh Sistem Aplikasi didistribusikan secara tepat waktu dan tepat sasaran f. Laporan yang dihasilkan oleh Sistem Aplikasi didistribusikan kepada pihak yang berkepentingan g. Setiap laporan yang dihasilkan tercantum halaman, judul, tanggal, periode, nomor urut dan jam laporan tersebut dicetak h. Tidak selalu terdapat contact person jika terjadi sesuatu atas laporan yang dihasilkan 93