BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. Hasil yang Diharapkan COBIT

Transkripsi

1 BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI 4.1 Rencana Kerja Evaluasi Aktivitas Mencari perusahaan yang cocok untuk dievaluasi proses pembelian dan persediaannya menggunakan COBIT Hasil yang Diharapkan Menemukan perusahaan yang sesuai untuk dievaluasi system pembelian dan persediaannya dengan menggunakan COBIT Menentukan ruang lingkup pembahasan, metodologi dan sistematika dalam penulisannya, serta Mendapatkan ruang lingkup pembahasan yang sesuai dan landasan teori yang berhubungan. menemukan landasan teori pendukungnya. Menganalisa gambaran umum perusahaan yang digunakan. Mengecek struktur organisasi dan mengidentifikasi uraian tugasnya. Mendapatkan gambaran perusahaan secara umum dan lengkap. Mendapatkan struktur organisasi yang sesuai dengan yang berjalan di perusahaan beserta pembagian tugasnya. Mengetahui arsitektur informasi yang digunakan di dalam perusahaan. Mendapatkan aplikasi yang berjalan, termasuk gambaran hardware, software, user, network dan database. 111

2 112 Mengidentifikasi proses dan sistem yang berjalan di perusahaan. Mendapatkan gambaran rinci tentang proses pembelian dan persediaan yang berjalan di perusahaan. Membuat kerangka kerja analitis. Kerangka kerja analitis yang tepat, termasuk adanya pembahasan antara IT goals dan business goals dengan COBIT. Melakukan evaluasi pengendalian sistem yang digunakan. Menentukan kesimpulan atas evaluasi yang dilakukan dan saran yang Menemukan hasil evaluasi pengendalian tersebut dan laporannya. Mendapatkan kesimpulan atas evaluasi dan saran yang sesuai. dianjurkan. Tabel 4.1 Rencana Kerja Evaluasi 4.2 Kriteria/Indikator Pengukuran Kriteria/Indikator pengukuran yang digunakan adalah: PO1. Mendefinisikan sebuah rencana startegi TI: PO1.1 Nilai-nilai Manajemen TI PO1.2 Posisi TI dalam Bisnis PO1.3 Penilaian Kemampuan dan Kinerja pada saat ini PO1.4 Rencana Strategis TI PO1.5 Rencana Taktis TI PO1.6 Ketentuan Manajemen TI

3 113 PO2. Mendefinisikan arsitektur informasi: PO2.1 Modul Arsitektur Informasi Perusahaan PO2.2 Mendirikan Kamus Data dan Perarturan Data syntax Perusahaan PO2.3 Skema Data Klasifikasi PO2.4 Manejemen Integritas PO3. Menentukan arah teknologi: PO3.1 Perencanaan Arah Teknologi PO3.2 Rencana Infrastruktur Teknologi PO3.3 Memantau Peraturan dan Trend Masa Depan PO3.4 Standard Teknologi PO3.5 Bagian Arsitektur TI PO4. Mendefinisikan proses TI, organisasi, dan hubungannya: PO4.1 Kerangka Kerja Proses TI PO4.2 Komite Strategis TI PO4.3 Komite TI PO4.4 Penepatan Organisasi dari Fungsi TI PO4.5 Struktur Organisasi TI PO4.6 Membuat Peran dan Tanggung Jawab PO4.7 Tanggung Jawab untuk Memastikan Kualitas TI PO4.8 Tanggung Jawab dalam Resiko Keamanan dan Pemenuhan PO4.9 Kepemilikan Data dan Sistem PO4.10 Pengawasan PO4.11 Pemisahan Tugas PO4.12 Kepegawaian TI

4 114 PO4.13 Personel Inti TI PO4.14 Kebijakan dan Prosedur Karyawan Kontrak PO4.15 Hubungan PO6. Menghubungkan arah dan tujuan manajemen PO6.1 Kebijakan dan Kontrol Lingkungan PO6.2 Resiko TI Perusahaan dan Kontrol Kerangka PO6.3 Kebijakan Manajemen TI PO6.4 Kebijakan, Standar, dan Pergantian Prosedur PO6.5 Pemberitahuan tentang Objektifitas dan Arahan TI AI1 Identifikasi Otomatisasi Pemecahan Masalah: AI1.1 Definisi dan Pemeliharaan Fungsi Bisnis dan Syarat Teknis AI1.2 Laporan Analisa Resiko AI1.3 Kemungkinan Pembelajaran dan Perumusan dari Jalan-Jalan Alternatif Suatu Tindakan AI1.4 Syarat-Syarat dan Kemungkinan Keputusan dan Penyetujuan AI2 Memperoleh dan Memelihara Aplikasi Software: AI2.1 Rancangan Tingkat Tinggi AI2.2 Rancangan Rinci AI2.3 Pengendalian Aplikasi dan Kemampuan Pemeriksaan AI2.4 Pengamanan Aplikasi dan Ketersediaan AI2.5 Konfigurasi dan Implementasi dari Aplikasi Software yang diperbolehkan AI2.6 Pengupgrade-an Utama pada Sistem yang Tersedia AI2.7 Perkembangan dari Aplikasi Software

5 115 AI2.8 Jaminan Kualitas Software AI2.9 Pengaturan Permintaan Aplikasi AI2.10 Pemeliharaan Aplikasi Software AI3 Memperoleh dan Memelihara Infrastruktur Teknologi: AI3.1 Rencana Akuisisi Infrastruktur Teknologi AI3.2 Proteksi Infrastruktur Sumber Daya dan Ketersediaan AI3.3 Pemeliharaan Infrastruktur AI3.4 Lingkup Uji Kelayakan AI4 Cara Kerja dan Kegunaan yang Memungkinkan: AI4.1 Perencanaan untuk Pemecahan Masalah Operasional AI4.2 Pemindahan Ilmu pada Manajemen Perusahaan AI4.3 Pemindahan Ilmu pada Pemakai Akhir AI4.4 Pemindahan Ilmu pada Staf Pendukung dan Operasi DS4 Memastikan pelayanan yang berkelanjutan: DS 4.1 Kerangka Kerja TI yang Berkesinambungan DS 4.2 Rencana TI yang Berkesinambungan DS 4.3 Sumber Daya TI yang Penting DS 4.4 Pemeliharaan Terhadap Rencana TI yang Berkesinambungan DS 4.5 Menguji Rencana TI yang Berkesinambungan DS 4.6 Pelatihan Rencana TI yang Berkesinambungan DS 4.7 Distribusi Rencana TI yang Berkesinambungan DS 4.8 Perbaikan Pelayanan TI dan Pembukaan Kembali DS 4.9 Offsite Penyimpanan Cadangan DS 4.10 Peninjauan Kembali Pembukaan

6 116 DS5 Menjamin Keamanan Sistem: DS5.1 Manejemen Keamanan TI DS5.2 Rencana Keamanan TI DS5.3 Indentifikasi Manejemen DS5.4 Manejemen Rekening Pemakai DS5.5 Pengujian Keamanan, Pengawasan dan Pengamatan DS5.6 Definisi Kejadian Keamanan DS5.7 Penjaga Teknologi Keamanan DS 5.8 Menejemen Kunci Cryptographic DS5.9 Pencegahan, Deteksi dan Koreksi Terhadap Software Berbahaya DS5.10 Keamanan Jaringan DS5.11 Petukaran Data yang Sensitif DS6 Mengidentifikasi dan Mengalokasikan Biaya: DS6.1 Definisi Service DS6.2 Akuntansi IT DS6.3 Biaya Pemodelan dan Pembebanan DS6.4 Pemeliharaan Biaya Model DS7 Pendidikan dan Pelatihan Pemakai: DS7.1 Identifikasi Pendidikan dan Pelatihan yang Dibutuhkan DS7.2 Pengiriman Pendidikan dan Pelatihan DS7.3 Evaluasi Pelatihan DS9 Mengatur Konfigurasi: DS9.1 Konfigurasi Tempat penyimpan dan Basis DS9.2 Identifikasi dan Mempertahankan Konfigurasi Barang

7 117 DS9.3 Mereview Integritas Konfigurasi DS11 Manage Data: DS11.1 Syarat Bisnis untuk Manajemen Data DS11.2 Perjanjian Penyimpanan dan Hak Tetap Memiliki DS11.3 Sistem Manajemen Perpustakaan Media DS11.4 Pembuangan DS11.5 Backup dan Restoration DS11.6 Syarat Keamanan untuk Manajemen Data DS13 Mengatur Operasi: DS13.1 Prosedur dan Instruksi Operasi DS13.2 Penjadwalan Pekerjaan DS13.3 Memantau Infrastruktur TI DS13.4 Dokumen yang Sensitif dan Output Devices DS13.5 Pemeliharaan Pencegahan untuk Hardware ME1 Pengawasan dan Pengevaluasian Pencapaian TI: ME1.1 Pendekatan Pengawasan ME1.2 Definisi dan Kumpulan dari Data Pengawasan ME1.3 Metode Pengawasan ME1.4 Perkiraan Pencapaian ME1.5 Laporan Eksekutif dan Dewan ME1.6 Tindakan Pembetulan ME2 Pengawasan dan Pengevaluasian Pencapaian TI: ME2.1 Pengawasan pada Rangka Pengendalian Internal ME2.2 Manajemen Pemeriksaan Kembali

8 118 ME2.3 Pengendalian Pengecualian ME2.4 Pengendalian Self Assesstment ME2.5 Jaminan Pengendalian Internal ME2.6 Pengendalian Internal Golongan Ketiga ME2.7 Tindakan Perbaikan 4.3 Pelaksanaan Evaluasi Pertanyaan PO1.1 Nilai-nilai Manajemen TI Apakah perusahaan memiliki sistem warning agar setiap data yang salah input dapat diketahui segera? PO1.2 Posisi TI dalam Bisnis Apakah perusahaan memiliki rencana strategis terkait dengan pihak lain yang saling timbal balik? Jawaban YA TDK Keterangan Tetapi tidak ada massages box yang memberikan keterangan lebih lanjut tentang error yang terjadi.

9 119 Pertanyaan PO1.3 Penilaian Kemampuan dan Kinerja pada saat ini Apakah perusahaan memiliki sistem pemecahan masalah bila ada error yang terjadi pada sistem dalam pembuatan SPK? PO1.4 Rencana Strategis TI Apakah perusahaan memiliki rencana kedepan terkait dengan sistem yang ada sekarang khususnya untuk membantu dalam proses pembelian dan persediaan perusahaan? Jawaban YA TDK Keterangan Perusahaan memiliki rencana ke depan terkait dengan sistem yang ada sekarang tetapi bukan untuk membantu dalam proses pembelian dan persediaan perusahaan melainkan untuk proses produksi.

10 120 Pertanyaan PO1.5 Rencana Taktis TI Apakah perusahaan memilik rencana taktis dalam memungkinkan investasi program, TI servis dan TI aset yang membantu dalam proses pembelian dan persediaan perusahaan? PO1.6 Ketentuan Manajemen TI Apakah sistem yang ada sudah memudahkan perusahaan terkait dengan proses pembelian dan persediaan dalam pencapaian tujuan sistem perusahaan dibuat? Jawaban YA TDK Keterangan Perusahaan berencana untuk meng-upgrade hardware yang lama dengan hardware yang baru bila hardware dinilai sudah perlu diganti. Sistem perusahaan dinilai sudah sangat memudahkan perusahaan

11 121 Pertanyaan PO2.1 Modul Arsitektur Informasi Perusahaan Apakah perusahaan membuat dan menjaga model informasi perusahaan yang mungkin digunakan (seperti meggunakan checklist ketika menerima barang dalam transaksi penerimaan barang) untuk pengembangan teknologi secara konsisten dengan rencana TI yang ada? PO2.2 Mendirikan Kamus Data dan Perarturan Data syntax Perusahaan Apakah perusahaan menjaga data perusahaan dengan memiliki kamus data dan peraturan yang dapat memudahkan adanya kemudahan dalam mengakses sistem perusahaan? (dalam proses penginputan data kedalam sistem seperti dalam transaksi penerimaan barang) Jawaban YA TDK Keterangan

12 122 Pertanyaan PO2.3 Skema Data Klasifikasi Apakah perusahaan membagi datadatanya berdasarkan sensitif dan tingkat kepentingan data? (misalnya dengan adanya pembatasan hak akses antara bagian pembelian dengan bagian persediaan) PO2.4 Manejemen Integritas Apakah perusahaan menerapkan prosedur untuk menjamin integritas dan konsistensi semua data elektroniknya? (seperti melakukan pengecekan ulang pada setiap transaksi penerimaan barang) Jawaban YA TDK Keterangan PO3.1 Perencanaan Arah Teknologi Apakah perusahaan menganalisa keadaan dan kemunculan teknologi untuk diterapkan kedepan dalam proses pembelian dan penjualan? Tetapi perusahaan hanya menyesuaikan dengan kebutuhannya pada saat itu.

13 123 Pertanyaan Apakah perusahaan memiliki rencana tentang arah teknologi yang dibutuhkan untuk merealisasi strategi TI dan sistem pembelian dan persediaan pada bisnis? PO3.2 Rencana Infrastruktur Teknologi Apakah perusahaan menciptakan dan memelihara rencana prasarana teknologi yang sesuai dengan rencana strategis dan taktis TI dalam kaitannya dengan proses pembelian dan persediaan? PO3.3 Memantau Peraturan dan Trend Masa Depan Apakah perusahaan mengamati proses pembelian dan persediaan untuk mengamati sektor bisnis, industry, teknologi, prasarana, hukum, peraturan lingkungan? Jawaban YA TDK Keterangan Kedepannya perusahaan berencana menggunakan sistem barcode.

14 124 Pertanyaan PO3.4 Standard Teknologi Apakah perusahaan memberikan pemecahan teknologi yang konsisten dan aman? (seperti dalam proses membuat laporan) PO3.5 Bagian Arsitektur TI Apakah perusahaan membangun bagian untuk menyediakan pedoman arsitektur dan nasehat pada lamaran mereka (bagian arsitektur TI) untuk mengecek apakah mereka sesuai dengan kemampuannya? Dalam hal ini menguasai sistem yang dipakai perusahaan ketika menerima barang atau membuat laporan. Jawaban YA TDK Keterangan Perusahaan telah memberikan pemecahan teknologi yang konsisten dan aman. Perusahaan telah memastikan bahwa semua karyawannya telah menguasai sistem yang dipakai perusahaan ketika menerima barang atau membuat laporan. PO4.1 Kerangka Kerja Proses TI Apakah perusahaan memiliki kerangka kerja proses TI yang digunakan untuk melaksanakan rencana strategis TI dalam proses melakukan pembayaran?

15 125 Pertanyaan PO4.2 Komite Strategis TI Apakah perusahaan memiliki komite TI dalam susunan perusahaan? PO4.3 Komite TI Apakah perusahaan memiliki prioritas dalam menginvestasikan program TI yang berkaitan dengan bisnis strategi dan prioritasnya dalam hal ini proses pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan memiliki prioritas dalam menginvestasikan program TI tetapi tidak berkaitan dengan bisnis strategi dan prioritasnya dalam proses pembelian dan persediaan, melainkan dalam proses produksi.

16 126 Pertanyaan Apakah perusahaan memiliki tahapan untuk menyelesaikan konflik dalam sistem melakukan pembayaran? Apakah perusahaan memonitor tingkatan servis dan kemajuannya dalam berbagai kegiatan pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan tidak memiliki tahapan untuk menyelesaikan error dalam sistem melakukan pembayaran, maka jika terjadi error bagian Keuangan akan memanggil orang TI. Perusahaan memonitor tingkatan servis dan kemajuannya dalam berbagai kegiatan pembelian dan persediaan, tetapi tidak secara tertulis.

17 127 Pertanyaan PO4.4 Penepatan Organisasi dari Fungsi TI Apakah perusahaan memiliki bagian dalam struktur ke-organisasian dalam perusahaan? PO4.5 Struktur Organisasi TI Apakah perusahaan mendirikan keorganisasian internal dan eksternal yang menunjukan keperluan perusahaan dalam proses pembelian dan persediaan? PO4.6 Membuat Peran dan Tanggung Jawab Apakah perusahaan membuat tugas dan tanggung jawab untuk pengguna TI? Dalam hal ini staf bagian Pembelian dan persediaan. Jawaban YA TDK Keterangan Perusahaan baru saja menerima staf TI, sehingga belum dimasukkan dalam struktur keorganisasian. Perusahaan membuat tugas dan tanggung jawab untuk setiap pengguna TI.

18 128 Pertanyaan PO4.7 Tanggung Jawab untuk Memastikan Kualitas TI Apakah perusahaan memberi tanggung jawab untuk memastikan kualitas TI dalam proses pembelian dan persediaan? Apakah memiliki kontrol dan keahlian komunikasi dalam bagian QA (Quality Assurance)? PO4.8 Tanggung Jawab dalam Resiko Keamanan dan Pemenuhan Apakah perusahaan memiliki tanggung jawab untuk resiko TI yang tekait dengan proses pembelian atau persediaan dalam level manejer tingkat atas? Jawaban YA TDK Keterangan Perusahaan belum menentukan tingkatan kualitas TI dalam proses pembelian dan persediaan, sistem perusahaan masih dinilai layak selama masih dapat mencukupi kebutuhan perusahaan.

19 129 Pertanyaan PO4.9 Kepemilikan Data dan Sistem Apakah perushaan menyediakan prosedur, alat, dan memungkinkannya untuk menanggapi tanggung jawabnya dalam kepemilikan data dan informasi sistem pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan menyediakan prosedur, alat, dan memungkinkannya untuk menanggapi tanggung jawabnya dalam kepemilikan data dan informasi sistem pembelian dan persediaan, dengan membatasi hak akses, pengambilan data hanya dapat dilakukan dari server.

20 130 Pertanyaan PO4.10 Pengawasan Apakah perusahaan melaksanakan pelatihan pengawasan yang memadai dalam fungsi TI untuk menjamin bahwa tugas dan tanggung jawabnya telah dijalankan dengan baik? karyawan yang dimaksud adalah karyawan bag.pembelian dan persediaan PO4.11 Pemisahan Tugas Apakah perusahaan melakukan pembagian tugas dan tanggung jawab untuk mengurangi kemungkinan seorang karyawan bagian pembelian atau persediaan melakukan kecurangan? PO4.12 Kepegawaian TI Apakah perusahaan mengevaluasi kebutuhan karyawan pada pengantian besar dalam perusahaan? Jawaban YA TDK Keterangan

21 131 Pertanyaan PO4.13 Personel Inti TI Apakah perusahaan mengidentifikasikan dan mendefinisikan personal inti TI dan memperkecil ketergantungan pada satu individu? Dalam hal ini terkait dengan proses pembelian dan persediaan. PO4.14 Kebijakan dan Prosedur Karyawan Kontrak Apakah perusahaan menjamin bahwa konsultan dan karyawan kontrak yang berhubungan dengan TI bagian pembelian dan persediaan mengerti benar peraturan dalam perusahaan? Jawaban YA TDK Keterangan

22 132 Pertanyaan PO4.15 Hubungan Apakah perusahaan membuat dan menjaga koordinasi yang optimal, komunikasi, dan hubungan yang baik diantara fungsi-fungsi TI terkait dengan proses pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan cukup membuat dan menjaga koordinasi yang optimal, komunikasi, dan hubungan yang baik diantara fungsi-fungsi TI terkait dengan proses pembelian dan persediaan. PO6.1 Kebijakan dan Kontrol Lingkungan Apakah perusahaan mengimplementasi elemen-elemen kontrol lingkungan TI yang sejalan dengan filsafat manajemen perusahaan dalam proses pembelian dan persediaan?

23 133 Pertanyaan PO6.2 Resiko TI Perusahaan dan Kontrol Kerangka Apakah perusahaan mengembangkan dan menjaga kerangka kerja dengan mendefinisikan apa yang ingin dicapai oleh perusahaan dalam hal ini yang dimaksudkan adalah proses pembelian dan persediaan? PO6.3 Kebijakan Manajemen TI Apakah perusahaan telah membuat kebijakan-kebijakan untuk mendukung tujuan utama perusahaan terkait dalam prosedur pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan telah membuat kebijakankebijakan untuk mendukung tujuan utama perusahaan terkait dalam prosedur pembelian dan persediaan. Contoh: Bila tidak ada PO maka tidak dapat melakukan pembelian.

24 134 Pertanyaan PO6.4 Kebijakan, Standar, dan Pergantian Prosedur Apakah perusahaan memiliki kebijakan pergantian dan penerapan TI kepada semua staf yang ada terkait dalam prosedur pembelian dan persediaan dalam perusahaan? Jawaban YA TDK Keterangan Perusahaan memiliki kebijakan pergantian dan penerapan TI kepada semua staf yang ada terkait dalam prosedur pembelian dan persediaan dalam perusahaan, tetapi belum dijalankan secara sempurna (biasanya bila karyawan membutuhkan aplikasi tertentu, maka ia akan memintanya kepada staf TI. Kebutuhan tersebut akan dipenuhi bila dinilai perlu, bila dinilai tidak perlu maka kebutuhan tersebut akan diabaikan).

25 135 Pertanyaan PO6.5 Pemberitahuan tentang Objektifitas dan Arahan TI Apakah perusahaan memberitahukan peringatan dan pengertian bisnis dan tujuan TI dan pimpinan untuk menyediakan arahan bagi pihak yang berkepentingan dan pemakai di seluruh perusahaan dalam hal ini bag.pembelian dan persediaan? Jawaban YA TDK Keterangan Perusahaan memberitahukan peringatan dan pengertian bisnis dan tujuan TI dan menyediakan arahan bagi pihak yang berkepentingan dan pemakai di seluruh perusahaan dalam hal ini bag.pembelian dan persediaan. (Hanya secara lisan saja).

26 136 Pertanyaan AI1.1 Definisi dan Pemeliharaan fungsi bisnis dan syarat teknis Apakah ada peningkatan prioritas dan persetujuan untuk fungsi bisnis dalam sistem pembelian yang ada dalam perusahaan? Mencapai hasil yang diharapkan dari program investasi IT. AI1.2 Laporan Analisa resiko Apakah ada analisa dokumen dan resiko yang disesuaikan dengan kebutuhan dalam proses pembelian dan persediaan, serta rancangan pemecahan masalah sebagai bagian dari proses perusahaan sebagai langkah pengembangan? AI1.3 Kemungkinan Pembelajaran dan Perumusan dari Jalan-jalan Alternatif Suatu Tindakan Apakah ada tindakan alternatif dan rekomendasi kepada sponsor perusahaan? Jawaban YA TDK Keterangan

27 137 Pertanyaan AI1.4 Syarat-Syarat dan Kemungkinan Keputusan dan Penyetujuan Apakah proses sponsor perusahaan dalam menerima dan mengakhiri proses pembelian, syarat secara teknis dan laporan laporan, telah sesuai / mengarah kepada tahap-tahap yang ditentukan sekarang? Jawaban YA TDK Keterangan AI2.1 Rancangan Tingkat Tinggi Apakah kebutuhan perusahaan telah dipenuhi dalam rancangan secara detail untuk software? AI2.2 Rancangan Rinci Apakah ada persiapan untuk teknik software aplikasi? Ya kebutuhan perusahaan telah dipenuhi.

28 138 Pertanyaan AI2.3 Pengendalian Aplikasi dan Kemampuan Pemeriksaan Apakah penerapan pengendalian pada proses pembelian dan persediaan telah sesuai dengan pengendalian otomatisasi aplikasi? Seperti proses yang akurat, lengkap, tepat waktu, disahkan dan dapat diperiksa. AI2.4 Pengamanan Aplikasi dan Ketersediaan Apakah letak aplikasi sudah aman? Apakah jawaban untuk identifikasi resiko telah tersedia? Sesuai dengan klasifikasi data perusahaan dan toleransi resiko. Jawaban YA TDK Keterangan Ya, telah sesuai. Namun pada bagian gudang masi sering terjadi human eror, perlu training lebih lanjut dalam pengoperasian sistem. Belum, perusahaan belum memikirkan dampak yang mungkin terjadi.

29 139 Pertanyaan AI2.5 Configurasi dan Implementasi dari Aplikasi Software yang diperbolehkan Apakah ada aplikasi-aplikasi software yang diperbolehkan untuk mencapai tujuan perusahaan tersebut? AI2.6 Pengupgrade-an Utama pada Sistem yang Tersedia Apakah ada pengupgradean / peningkatan software pada sistem pembelian dan persediaan yang digunakan? Dan Apakah telah sesuai? AI2.7 Perkembangan dari Aplikasi Software Apakah fungsi otomatisasi dikembangkan sesuai dengan spesifikasi rancangan, standar dokumentasi, dan syarat QA? Jawaban YA TDK Keterangan Ya, tidak diperbolehkan meng-install sembarangan, namun masi ada beberapa karyawan yang seperti itu. Tidak karena software yang digunakan juga masih baru diterapkan. Ya, telah sesuai rancangan.

30 140 Pertanyaan AI2.8 Jaminan Kualitas Software Apakah ada pengembangan, sumber daya dan pelaksanaan rencana QA software untuk menghasilkan kualitas yang sesuai prosedur dan kualitas perusahaan? AI2.9 Pengaturan Permintaan Aplikasi Apakah aplikasi telah sesuai kebutuhan dan mampu menerima perubahan melalui proses pembelian dan persediaan yang berjalan? AI2.10 Pemeliharaan Aplikasi Software Apakah ada pengembangan strategi dan rencana untuk pemeliharaan aplikasi software? Jawaban YA TDK Keterangan Ya ada rencana, tetapi belum secara detail dan mendalam. Belum ada rencana untuk pemeliharaan aplikasi.

31 141 Pertanyaan AI3.1 Rencana Akuisisi Infrastruktur Teknologi Apakah tersedia rencana untuk implementasi dan pemeliharaan dari infrastruktur teknologi (keseluruhan) yang dibangun sesuai kebutuhan dalam proses pembelian dan persediaan? AI3.2 Proteksi Infrastruktur Sumber Daya dan Ketersediaan Apakah telah diterapkan pengendalian internal, pemeliharaan hardware dan infrastruktur software? Ada tanggung jawab untuk menggunakan komponen infrastruktur / hak akses dan pengawasan bagi user. Jawaban YA TDK Keterangan Pengecekan hardware setiap lima tahun. Setiap bagian memiliki hak akses dan masingmasing bertanggung jawab atas hardware yang digunakan.

32 142 Pertanyaan AI3.3 Pemeliharaan Infrastruktur Apakah perusahaan memiliki perencanaan untuk pemeliharaan infrastruktur, dan menjamin bahwa perubahan dikendalikan sesuai dengan prosedur manajemen perusahaan?mencakup peninjauan kembali kebutuhan dalam proses pembelian dan persediaan secara berkala, upgrade strategi, resiko dan langkahlangkah untuk keamanan. AI3.4 Lingkup Uji Kelayakan Apakah uji perkembangan dan uji integrasi dari komponen infrastruktur (harware dan software) untuk mendukung keefektifan dan keefisienan telah dibangun? Adanya pengecekan dan pengetesan pada sistem pembelian dan persediaan yang ada. Jawaban YA TDK Keterangan Ada biasanya pada data persediaan, tetapi tidak terencana dan tidak terstruktur

33 143 Pertanyaan AI4.1 Perencanaan untuk Pemecahan Masalah Operasional Apakah ada rencana untuk mendokumentasikan semua teknik dan operasional? Seperti semua yang akan menjalankan, menggunakan dan memelihara pemecahan masalah yang terotomatisasi tersebut. AI4.2 Pemindahan Ilmu pada Manajemen Perusahaan Apakah manajemen perusahaan memiliki pengetahuan untuk memperbolehkan individu mengambil kepemilikan/hak akses dari sistem dan data dan administrasi aplikasi? Jawaban YA TDK Keterangan Ada, tetapi tidak secara formal.

34 144 Pertanyaan AI4.3 Pemindahan Ilmu pada Pemakai Akhir Apakah ada trainning kepada pemakai untuk keefektifan dan keefisienan menggunakan sistem dalam mendukung proses pembelian dan persediaan? AI4.4 Pemindahan Ilmu pada Staf Pendukung dan Operasi Apakah ada trainning pada staf pendukung untuk efektif dan efisien dalam penyampaian, mendukung dan memelihara sistem dan hardware? Jawaban YA TDK Keterangan Ada, tetapi tidak secara khusus hanya secara umum saja. Ada, tetapi tidak ada training khusus. DS4.1 Kerangka Kerja TI yang Berkesinambungan Apakah perusahaan mempunyai kerangka kerja pada proses pembelian dan persediaan?

35 145 Pertanyaan DS4.2 Rencana TI yang Berkesinambungan Apakah rencana kerja tersebut sudah ada pengembangan dengan meliputi resiko yang berpotensial? DS4.3 Sumber Daya TI yang Penting Apakah dalam rencana TI tersebut sudah menetapkan barang yang harus diperhatikan dalam proses pembelian dan persediaan? DS4.4 Pemeliharaan Terhadap Rencana TI yang Berkesinambungan Apakah sudah ada jaminan bahwa manajemen TI melaksanakan prosedur perubahan control dan rencana TI terus diperbaharui? DS4.5 Menguji Rencana TI yang Berkesinambungan Apakah sudah ada pengujian terhadap rencana TI tersebut? Jawaban YA TDK Keterangan

36 146 Pertanyaan DS4.6 Pelatihan Rencana TI yang Berkesinambungan Apakah sudah ada pelatihan bagi pihak yang terkait dengan rencana TI? DS4.7 Distribusi Rencana TI yang Berkesinambungan Apakah rencana TI sudah dapat mengatasi segala skenario bencana yang mungkin terjadi? DS4.8 Perbaikan Pelayanan TI dan Pembukaan Kembali Apakah ada prosedur pemulihan kembali seperti penggunaan (backup sites, alternative porses yang ada), terjadi gangguan terhadap sistem? DS4.9 Offsite Penyimpanan Cadangan Apakah ada media penyimpanan cadangan untuk menyimpan data perusahaan yang penting? Jawaban YA TDK Keterangan

37 147 Pertanyaan DS4.10 Peninjauan Kembali Pembukaan Apakah sudah ada peninjauan kembali saat pembukaan kembali terhadap fungsi TI setelah terjadinya bencana? Jawaban YA TDK Keterangan DS5.1 Manejemen Keamanan TI Apakah perusahaan sudah mengatur keamanan TI dalam proses pembelian dan persediaan? Perusahaan sudah mengatur keamanan TI dalam proses pembelian dan persedia, salah satu contohnya adalah pemberian ID dan Password kepada setiap pemakai sehingga dapat mengetahui history pemakai pada saat menggunakan computer

38 148 Pertanyaan DS5.2 Rencana Keamanan TI Apakah perusahaan sudah membuat rencana keamanan TI dengan menganalisa ancaman dan resiko yang bisa terjadi pada proses pembeliaan dan persediaan? DS5.3 Indentifikasi Manejemen Apakah perusahaan sudah menjamin semua pemakai (user) dan kegiatan mereka dalam sistem TI secara unik di identifikasi? DS5.4 Manejemen Rekening Pemakai Apakah perusahaan sudah memiliki prosedur user account dengan mengambil data dari pengguna seperti nama, alamat, tanggal lahir? Jawaban YA TDK Keterangan Perusahaan tidak menganalisa ancaman dan resiko yang bisa terjadi sehingga tidak membuat rencana keamanan TI secara spesifik. Perusahaan sudah menjamin semua pemakai secara unik, dengan pemberian User ID. Perusahaan sudah memiliki prosedur tersebut dengan berisikan data seperti nama, alamat, contact number.

39 149 Pertanyaan DS5.5 Pengujian Keamanan, Pengawasan dan Pengamatan Apakah perusahaan sudah melakukan pengujian dan pemantauan implementasi keamanan TI yang ada? Jawaban YA TDK Keterangan Perusahaan tidak melakukan pengujian terhadap implementasi keamanan tetapi melakukan pemantauan terhadap keamanan TI, jadi perusahaan siaga terhadap ancaman/kerusakan yang terjadi.

40 150 Pertanyaan DS5.6 Definisi Kejadian Keamanan Apakah perusahaan sudah dengan jelas mendefinisikan dan menkomunikasikan potensi ancaman keamanan yang bisa terjadi pada proses pembelian dan persediaan sehingga dapat digolongkan dan ditangani dengan baik? DS5.7 Penjaga Teknologi Keamanan Apakah perusahaan sudah membuat teknologi keamanan bertahan terhadap perubahan dan penggunaan dokumen yang tidak perlu? Jawaban YA TDK Keterangan Perusahaan mendefinisikan ancaman keamanan tetapi tidak mengolongkannya, perusahaan hanya mengetahui sedikit ancaman yang dapat membahayakan proses seperti ancaman virus dan human error. Perusahaan tidak memperhatikan ketahanan teknologi keamanan terhadap perubahan.

41 151 Pertanyaan DS 5.8 Manejemen Kunci Cryptographic Apakah perusahaan sudah menentukan prosedur dan kebijakan dalam mengatur pembeharuan, perubahan, pencabutan kembali, perusakan, pengiriman, pemberian sertifikat, penyimpanan, pemasukan, menggunakan dan mengarsipkan kunci cryptographic untuk menjamin perlindungan kunci melawan modifikasi and penggunanan tidak resmi? DS5.9 Pencegahan Software Jahat, Deteksi dan Koreksi Apakah perusahaan sudah menepatkan tindakan pencegahan, pendeteksi dan pembetulan dalam organisasi untuk menjaga sistem informasi dan teknologi dari virus, worms, spyware, spam? Jawaban YA TDK Keterangan Jika ada salah satu pemakai sudah tidak bekerja dalam perusahaan lagi, maka user account sudah tidak lagi berfungsi dan tidak dapat dipakai lagi untuk melakukan login dalam komputer perusahaan. Perusahaan mempunyai antivirus berupa AVG untuk mencegah virus, worms, spyware, spam.

42 152 Pertanyaan DS5.10 Keamanan Jaringan Apakah perusahaan sudah mengunakan teknik keamanan dan prosedur manajemen seperti firewalls, Peralatan keamanan, segmentasi jaringan, intruksi pendeteksian) untuk menjamin ketersediaan data? DS5.11 Petukaran Data yang Sensitive Apakah perusahaan sudah ada petukaran transaksi yang penting dalam proses pembelian dan persediaan hanya dilakukan dalam jalur yang terpercaya dengan memberikan keaslian isi, dan bukti kuitansi? Jawaban YA TDK Keterangan Hanya komputer pusat saja yang dipasang firewalls. Peralatan keamanan hanya berupa alat pemadam kebakaran, perusahaan tidak mempunyai sistem alarm bila terjadi apa-apa. Perusahaan sudah ada prosedur untuk memberikan keaslian isi dan buti kuitansi pada setiap proses pembelian dan persediaan.

43 153 Pertanyaan DS6.1 Definisi Servis Apakah Perusahaan telah mengidentifikasi semua biaya IT yang digunakan dalam proses pembelian dan persediaan? DS6.2 Akuntansi IT Apakah Perusahaan telah mengalokasikan biaya aktual berdasarkan model biaya perusahaan? Jawaban YA TDK Keterangan Hanya bagian akuntansi saja yang diidentifikasi biaya TI, bagian lainnya seperti gudang tidak diidentifikasi biayannya. Karena bagian akuntansi yang mempunyai banyak komputer dan user. Perusahaan tidak membuat model biaya perusahaan sehingga tidak mengalokasikan biaya aktual.

44 154 Pertanyaan DS6.3 Biaya Pemodelan dan Pembebanan Apakah model biaya-biaya pada Perusahaan telah disesuaikan dengan pembebanan layanan TI pada pembelian dan persediaan agar dapat diidentifikasi, diukur, dan diprediksi oleh pengguna? DS6.4 Pemeliharaan Biaya Model Apakah Perusahaan telah melakukan peninjauan kembali atas ketepatan biaya terhadap pembebanan guna memelihara hubungan perkembangan bisnis dan aktivitas IT? Jawaban YA TDK Keterangan Tidak ada model biayabiaya pada perushaan sehingga tidak menyesesuaikan pembebanan layanan TI pada pembelian dan persediaan. Perusahaan telah melakukan peninjauan kembali atas biaya yang telah dikeluarkan guna memelihara hubungan perkembangan bisnis dan aktivitas TI.

45 155 Pertanyaan DS7.1 Identifikasi Pendidikan dan Pelatihan yang dibutuhkan Apakah perusahan sudah memiliki kurikulum dalam pelatihannya? DS7.2 Pengiriman pendidikan dan pelatihan Berdasarkan identifikasi kebutuhan pendidikan dan pelathan apakah perusahan sudah identifikasi target kelompok dan anggotanya, pengajar yang efisien? DS7.3 Evaluasi pelatihan Apakah perusahan sudah mengevaluasi pendidikan dan pelatihan yang diberikan setelah penyelesaian untuk relevansi, kualitas, keefektifan, pengetahuan, berharga dan nilai? Jawaban YA TDK Keterangan

46 156 Pertanyaan DS9.1 Konfigurasi Tempat Penyimpan dan Basis Apakah perusahan sudah mendirikan alat pendukung dan gudang tengah untuk berisi semua informasi konfigurasi barang. Mengamati dan mencatat aset dan ganti sampai aset? DS9.2 Identifikasi dan Mempertahankan Konfigurasi Barang Apakah perusahan sudah mendirikan prosedur konfigurasi utnuk mendukung manejemen dan catat semua perubahan ke tempat penyimpan konfigurasi? DS9.3 Mereview Integritas Konfigurasi Apakah perusahan sudah memeriksa data konfigurasi untuk mengecek dan menegaskan integritas konfigurasi sekarang dan sebelumnya? Jawaban YA TDK Keterangan Pemeriksaan berupa melakukan stok opnum tiap akhir bulan untuk mencocokan data.

47 157 Pertanyaan DS11.1 Syarat Bisnis untuk Manajemen Data Apakah semua data yang diterima selama proses pembelian dan persediaan dari awal hingga proses tersebut selesai telah diverifikasi secara akurat dan tepat waktu? DS11.2 Perjanjian penyimpanan dan Hak Tetap Memiliki Apakah data proses pembelian dan persediaan perusahaan telah disimpan dan diarsipkan guna menciptakan keamanan dan kemudahan dalam pemakaiannya? Jawaban YA TDK Keterangan Terdapat tempat penyimpanan data untuk menyimpan semua data dalam proses pembelian dan persediaan.

48 158 Pertanyaan DS11.3 Sistem Manajemen Perpustakaan Media Apakah Perusahaan telah memiliki media penyimpanan guna untuk menjamin ketepatan penggunaan dan integritas data proses pembelian dan persediaan? DS11.4 Pembuangan Apakah Perusahaan telah menetapkan dan mengimplementasikan prosedur untuk memastikan bahwa telah ada perlindungan sensitivitas data dan software ketika data dan hardware diatur atau ditransfer demi kebutuhan bisnis? DS11.5 Backup and Restoration Apakah Perusahaan telah memiliki prosedur untuk backup serta restoration? Jawaban YA TDK Keterangan Perusahaan telah memiliki media penyimpanan berupa harddisk berkapasistas 120 GB pada setiap komputer nya. Tidak ada prosedur khusus hanya berupa konfrimasi dari bagian TI kepada menejemen perusahaan. Perusahaan tidak memiliki prosedur untuk melakukan backup dan restoration

49 159 Pertanyaan DS11.6 Syarat Keamanan untuk Manajemen Data Apakah Perusahaan telah menetapkan dan mengimplementasikan kebijakan dan prosedur untuk kebutuhan keamanan bagi penerimaan, proses dan penyimpanan serta output data sesuai dengan kebutuhan bisnis? Jawaban YA TDK Keterangan DS13.1 Prosedur dan Instruksi Operasi Apakah perusahaan sudah mengimplementasi prosedur operasi TI dan menjamin pemakai mengetahui tentang tugas operasinya? Perusahaan sudah melakukan training untuk menjami pemakai mengetahui tentang tugas operasinya.

50 160 Pertanyaan DS13.2 Penjadwalan pekerjaan Apakah perushaan sudah membuat jadwal pekerjaan kepada setiap karyawan? DS13.3 Memantau Infrastruktur TI Apakah perusahaan sudah mengamati hardware, software pada perusahaan? Jawaban YA TDK Keterangan Perusahaan membuat SPK (Surat Perintah Kerja) kepada bagian gudang untuk memulai pekerjaannya. SPK di picu dari pemberian order dari pelanggan. Jika tidak ada order maka tidak ada SPK. Perusahaan tidak mengamati hardware, software, hanya dilakukan pada saat terjadi masalah saja.

51 161 Pertanyaan Jawaban Keterangan YA TDK DS13.4 Dokumen yang Sensitif dan Output Devices Ada, bisa mengetahui siapa pemakai yang menggunakan mesin Apakaah sudah ada perlindungan jalur dari dokumen yang penting ke mesin printer dalam hal pencetakan dokumen? DS13.5 Pemeliharaan Pencegahan untuk Hardware Apakah perushaan sudah ada pemeliharan jadwal jam kerja untuk mengurangi penurunan kinerja dan dampak kegagalan? printer. Jadi bisa mengetahui bisa terjadi kecurangan atau kecurigaan terhadap pemakai yang mencetak dokumen yang penting. Ada, jadi bila tidak ada SPK ke bagian gudang, maka bagian gudang tidak melakukan pekerjaan. Jadi bisa mengurangi penurunan kinerja dan dampak kegagalan.

52 162 Pertanyaan ME1.1 Pendekatan Pengawasan Apakah ada langkah-langkah untuk pengawasan dalam mendefinisikan lingkup, cara/teknik dan proses untuk mengukur solusi TI dan kontribusi TI ke perusahaan? ME1.2 Definisi dan Kumpulan dari Data Pengawasan Apakah pencapaian pengaturan target telah didefinisikan dengan baik? ME1.3 Metode Pengawasan Apakah perusahaan memiliki metode pengawasan yang mencatat target; pencapaian TI; dan sesuai dengan sistem pengawasan perusahaan? Jawaban YA TDK Keterangan

53 163 Pertanyaan ME1.4 Perkiraan Pencapaian Apakah perusahaan secara periodik memeriksa kembali pencapaian yang bertentangan dengan tujuan, menganalisa penyebabnya, dan memulai tindakan perbaikan untuk penyebab kegagalan tersebut? ME1.5 Laporan Eksekutif dan Dewan Apakah ada pembuatan laporan atas kontribusi TI perusahaan?dalam bentuk pencapaian program investasi TI dan solusi, mencakup laporan tujuan perencanaan yang telah dicapai, budget sumberdaya yang digunakan, dan dianalisa resikonya. Jawaban YA TDK Keterangan

54 164 Pertanyaan ME1.6 Tindakan Pembetulan Apakah ada tindakan perbaikan pada pengawasan pencapaian dan pelaporannya? baik melalui pemeriksaan kembali, pembentukan respon manajemen, penyerahan tanggung jawab maupun mengikuti hasil dari tindakan yang dilakukan. Jawaban YA TDK Keterangan ME2.1 Pengawasan pada Rangka Pengendalian internal Apakah pengawasan dan pengembangan pengendalian lingkungan TI terus dilakukan? ME2.2 Manajemen Pemeriksaan kembali Apakah perusahaan melakukan evaluasi efisiensi dan efektifitas dari pengendalian internal TI? Ya. Contohnya dibatasinya akses untuk pengeditan pada transaksi pada bulan yang lalu. Ya, perusahaan melakukan evaluasi setiap beberapa bulan.

55 165 Pertanyaan ME2.3 Pengendalian Pengecualian Apakah perusahaan memperluas pengendalian pengecualian dan laporan kepada pengguna dengan tepat? ME2.4 Pengendalian Self -assesstment Apakah terdapat efektifitas dari proses TI dan perjanjian melalui program selfassessment yang berlanjut? ME2.5 Jaminan Pengendalian Internal Apakah efektifitas pengendalian internal telah terjamin? sistem yang berjalan telah berjalan baik, tidak menyebabkan terjadinya banyak kecurangan. Jawaban YA TDK Keterangan Ya, ada efektifitas pada control management dengan adanya proses TI, namun perjanjian selfassessment belum diterapkan. Ya, sistem telah berjalan baik, error pada sistem juga sudah jarang ditemukan dan kemungkinan terjadinya fraud juga telah diidentifikasi.

56 166 Pertanyaan ME2.6 Pengendalian Internal pada golongan ketiga Apakah ada konfirmasi bahwa pihak luar perusahaan mematuhi dengan sah prosedur yang berlaku? ME2.7 Tindakan Perbaikan Apakah dilakukan tindakan perbaikan dari pengendalian yang ada dan laporan? Jawaban YA TDK Keterangan Ya, ada konfirmasi. Contohnya pada saat penerimaan barang yang tidak disertai dengan no PO, maka perusahaan akan melakukan konfirmasi dahulu ke supplier karena barang tidak dapat masuk tanpa disertai dengan PO. Tabel 4.2 Evaluasi Kriteria yang Diukur

57 4.4 Hasil Evaluasi Pengendalian Sistem Informasi Domain Temuan Keterangan Rekomendasi Analisa Level PO1 Tidak memiliki rencana strategis TI dalam proses pembelian dan persediaan Perusahaan saat ini sudah memikirkan rencana strategis, tetapi untuk bagian produksi. Pengadaan strategi TI dan perkembangannya dibahas secara berkala Dengan adanya pembicaraan mengenai hal tersebut, perusahaan diharapkan lebih memperhatikan dan sadar akan pentingnya TI dalam perusahaan

58 Domain Temuan Keterangan Rekomendasi Analisa Level Hal ini dapat dilihat ketika barang datang, Surat Jalan harus disertai dengan nomor Agar bila terjadi pergantian Tidak ada prosedur PO. Bila tidak ada nomor Membuat arsitektur personil dalam perusahaan, PO2 arsitektur informasi PO maka barang tidak dapat informasi secara sudah ada prosedur yang formal 2 yang formal diterima oleh bagian formal dan dapat dimengerti dengan gudang. Sedangkan tidak baik. ada prosedur formal yang mengatur hal ini. 168

59 Domain Temuan Keterangan Rekomendasi Analisa Level PO3 Mengamati trend pasar untuk perkembangan ke depan, tetapi disesuaikan dengan kebutuhan dalam perusahaannya. Rencana penggunaan barcode untuk membantu proses penerimaan barang, namun belum ada rencana lebih lanjut untuk penerapannya. Mulai mengamati trend pasar untuk masa yang akan datang Agar perusahaan dapat mengantisipasi pasar dengan lebih baik

60 Domain Temuan Keterangan Rekomendasi Analisa Level Ketergantungan user pada PO4 Perusahaan hanya bergantung pada satu individu terkait dengan semua sistem perusahaan staf TI ketika menemukan masalah pada sistem pembelian dan persediaan seperti kesalahan dalam pembuatan BPB (Bukti Penerimaan Barang) yang diakibatkan karena kurangnya pengetahuan user dimana akhirnya akan Penambahan personel TI dalam perusahaan Dibutuhkannya keterlibatan semua user dalam operasional sistem sangat diperlukan untuk mencegah terjadinya ketergantungan pada satu individu, sehingga bila terjadi halangan pada individu tersebut sistem dapat terus berjalan. 2 melibatkan staf TI. 170

61 Domain Temuan Keterangan Rekomendasi Analisa Level PO6 Perusahaan tidak memiliki kerangka kerja formal terkait dengan TI Hal ini dapat dilihat dari tidak adanya susunan goals yang jelas. Membuat kerangka kerja terkait dengan TI dalam perusahaan Perusahaan akan memiliki gambaran yang lebih jelas tentang apa yang harus dilakukan terkait dalam bidang TI dalam perusahaan. 2 AI1 Pemecahan masalah masih bersifat informal (tidak ada prosedur baku bila terjadi masalah pada sistem pembelian dan persediaan). Tidak ada message box pada sistem jika ada kesalahan input pada sistem. Adanya pendekatan terstruktur yang digunakan untuk pemecahan masalah. Diperlukannya pemecahan masalah yang terstruktur agar jika terjadi masalah yang serupa di lain waktu, perusahaan telah memiliki panduan formal untuk menyelesaikannya

62 Domain Temuan Keterangan Rekomendasi Analisa Level Melakukan tindak lanjut dalam AI2 Ada pertimbangan untuk keamanan sistem, tetapi tidak terfokus. Adanya peraturan dalam penggunaan komputer, tidak diperbolehkan meng-install aplikasi apapun tanpa seijin perusahaan, namun tidak ada pemantauan dan sistem proteksi pada komputer. Menentukan tindak lanjut atas pertimbangan aplikasi yang ada, untuk dapat diimplementasikan. keamanan aplikasi karena dengan adanya keamanan aplikasi, sistem pembelian dan persediaan tersebut lebih aman. Dalam penentuan keamanan aplikasi yang diterapkan, dibutuhkan identifikasi dan penilaian dampak resiko yang 2 akan timbul. 172

63 Domain Temuan Keterangan Rekomendasi Analisa Level Proses yang akurat lengkap, tepat waktu, dan dapat Menerapkan diperiksa sangat diperlukan Pengoperasian sistem di bagian gudang masih belum sempurna. Sering terjadi kesalahan input dalam penerimaan barang, penggunaan sistem juga masih sering mengalami kesulitan. pengendalian pada proses pembelian dan persediaan yang digunakan agar sesuai dengan pengendalian otomatisasi terutama dalam prosedur penerimaan barang yang cukup kompleks, sehingga harus diterapkan pengendalian pada bagian gudang dimana pada aplikasi. bagian tersebut masih sering terdapat kesalahan penggunaan pada user. 173

64 Domain Temuan Keterangan Rekomendasi Analisa Level Tidak ada test AI3 pengembangan dan integrasi pada komponen infrastruktur pada sistem pembelian dan persediaan yang Tidak adanya rencana kerja secara formal untuk pengembangan, sehingga test pengembangan juga belum direalisasikan. Menyusun rangkaian test untuk perkembangan dan integrasi dari komponen infrastruktur pada sistem pembelian dan persediaan ini. Test ini diperlukan untuk mengetahui apakah infrastruktur pada sistem yang dibangun masih dapat ditingkatkan. 1 digunakan. 174

65 Domain Temuan Keterangan Rekomendasi Analisa Level Training program AI4 untuk bisnis dan pemakai disediakan atau facilitated,tetapi tidak ada rencana keseluruhan untuk User manual belum tersedia saat training diberikan. Staf untuk melatih user juga masih terbatas. Membuat rencana training secara khusus dengan kurikulum yang tepat. Dengan adanya training secara menyeluruh dan kurikulum yang tepat maka user mendapat pelatihan sesuai bidangnya. 2 training. 175

66 Domain Temuan Keterangan Rekomendasi Analisa Level DS4 Rencana pemeliharaan TI sudah dibuat tetapi secara tidak resmi (informal). Hal ini dapat dilihat dari tidak ada tindak lanjut setelah memikirkan rencana TI perusahaan, jadi hanya sebatas pemikiran saja tidak ada perencanaan pelaksanaan. Menindak lanjuti perencanaan TI yang sudah dibuat serta mengimplementasikannya dengan baik dan terencana. Perencanaan TI yang baik diperlukan sebagai tahapantahapan penggunaan TI yang baik

67 Domain Temuan Keterangan Rekomendasi Analisa Level DS5 Tidak ada analisa resiko dan ancaman yang dapat terjadi terhadap sistem pembeliaan dan persediaan. Tidak ada pengujian terhadap implementasi keamanan TI Hal ini dapat dilihat dari tidak ada prosedur peletakan server apakah sudah aman dari banjir, dan bencana lainnya, tidak ada detektor asap. Hal ini dapat dilihat dari tidak ada pengujian terhadap password seperti batasan input jika terjadi kesalahan. Menganalisa resiko dan ancaman yang mungkin terjadi dan dapat membahayakan sistem dan merugikan perusahaan. Melakukan prosedur pengujian terhadap implementasi keamanan TI Dengan menganalisa resiko dan ancaman maka perusahaan dapat memperkecil gangguan yang mungkin terjadi terhadap sistem pembelian dan persediaan. Dengan adanya pengujian terhadap implementasi keamanan TI maka dapat dilakukan perbaikan jika terdapat kesalahan dapat tahap pengujian

68 Domain Temuan Keterangan Rekomendasi Analisa Level DS6 Tidak ada pemantauan biaya TI secara rinci pada setiap bagian dalam sistem pembelian dan persediaan. Tidak ada prosedur dalam biaya TI yang dikeluarkan oleh tiap bagian perusahaan seperti pembelian tinta printer yang berlebihan. Melakukan pengidentifikasian dan pemantauan biaya TI pada setiap bagian perusahaan. Dengan adanya identifikasi dan pemantuan biaya TI pada setiap bagian berguna untuk mencegah terjadinya kecurangan dalam penggunaan TI yang berlebihan

69 Domain Temuan Keterangan Rekomendasi Analisa Level Tidak mengevaluasi Melakukan evaluasi DS7 pelatihan terhadap kesiapan user dalam memahami sistem pembelian dan persediaan yang diberikan apakah Perusahaan tidak mengecek kemampuan user setelah training dilakukan. Tidak ada tindak lanjut atas training tersebut. pelatihan terhadap kesiapan user dalam memahami sistem pembelian dan persediaan yang diberikan apakah Dengan adanya evaluasi terhadap pelatihan yang ada maka meningkatkan pemahaman dan kesiapan user terhadap sistem pembelian dan persediaan yang ada. 1 sudah tepat. sudah tepat. 179

70 Domain Temuan Keterangan Rekomendasi Analisa Level DS9 Tidak ada pengecekan data fisik dengan data yang ada di dalam sistem (stock opname) secara berkala. Tidak ada kepastian jadwal diberlakukannya stock opname tersebut. Melakukan stock opname secara berkala setiap tiga bulan sekali. Dengan adanya stock opname, perusahaan dapat membandingkan data fisik dengan data yang ada di dalam sistem. 1 DS11 Tidak ada prosedur backup serta restoration secara berkala. Hal ini dapat dilihat dari tidak adanya penjadwalan backup terhadap server. Membuat prosedur backup serta restoration secara berkala pada sistem pembelian dan penjualan. Prosedur backup serta restoration berguna untuk melindungi data saat terjadi gangguan terhadap sistem pembelian dan persediaan

71 Domain Temuan Keterangan Rekomendasi Analisa Level DS13 Maintance biasanya bersifat problematik. Update antivirus tidak dilakukan secara rutin, ketika komputer terinfeksi maka perusahaan baru akan melakukan perbaikan. Adanya maintance secara berkala untuk sistem pembelian dan persediaan tersebut. Maintance dilakukan secara berkala untuk mengurangi kemungkinan terjadinya masalah

72 Domain Temuan Keterangan Rekomendasi Analisa Level Metode pengawasan dibutuhkan untuk mengetahui apakah hasil pencapaian TI telah sesuai ME1 Perusahaan tidak memiliki pengawasan target dan pencapaian TI, serta analisa penyebabya. Tidak adanya penilaian terhadap fungsi TI dalam perusahaan, sejauh mana TI berkontribusi dalam perusahaan. Adanya metode pengawasan yang mencatat target dan pencapaian TI, lengkap dengan analisa penyebab dan tindakan perbaikannya. dengan tujuan perusahaan, mengetahui penyebabnya dan menemukan tindakan perbaikan atas penyebab kegagalan tersebut. Tujuan utama perusahaan menerapkan sistem ini adalah untuk mempermudah dalam pembuatan dokumen, tidak ada redudansi dan untuk 1 pengawasan stok, serta mempermudah penyusunan laporan. 182

73 Domain Temuan Keterangan Rekomendasi Analisa Level Penilaian internal control dibebaskan pada set ketrampilan dari individu utama Adanya pembatasan hak akses, dimana hal tersebut ditentukan oleh seorang individu utama. Penilaian internal control dilakukan secara tepat dengan menggunakan prosedur. Agar hasil yang dicapai lebih akurat dan tidak subjektif. ME2 Alat untuk mengamati pengendalian internal telah mulai digunakan tetapi tidak berdasarkan sebuah rencana Adanya otorisasi pada dokumen yang dihasilkan. SOP yang mengatur proses pembelian dan persediaan PT. Alas Makmur Langgeng Abadi belum dibuat secara tertulis. Membuat perencanaan untuk penerapan alat untuk mengukur internal control tersebut. Agar alat pengukuran tersebut dapat dimaksimalkan sesuai fungsinya. 2 Tabel 4.3 Hasil Evaluasi Pengendalian Sistem Informasi 183

74 184 Kriteria untuk penentuan level: PO1 level 1: o Kebutuhan untuk perencanaan strategis TI diketahui oleh manajemen TI. o Ada bukti bahwa perusahaan telah mengenali masalah yang ada dan harus diselesaikan. Namun tidak ada proses yang terstandarisasi. PO2 level 2: o Tidak ada pelatihan formal atau komunikasi prosedur yang terstandarisasi dan tanggung jawab diberikan kepada tiap individu. o Ada kecenderungan untuk bertumpu pada pengetahuan individu sehingga kesalahan cenderung terjadi. o Prosedur arsitektur informasi muncul dan mirip, meskipun informal dan intuitif. o Staf mendapatkan ketrampilan mereka dari penggunaan sistem yang sama secara terus menerus. PO3 level 2: o Keperluan dan kepentingan dari perencanaan teknologi dikomunikasikan. o Rencana bersifat taktis dan berfokus pada timbulnya pemecahan masalah teknik, daripada penggunaan teknologi untuk memenuhi kebutuhan perusahaan. o Evaluasi dari perubahan teknologi diserahkan pada individu menurut kebutuhannya.

75 185 o Orang-orang mendapatkan ketrampilan mereka dari perencanaan teknologi berdasarkan pengalaman. PO4 level 2: o Sudah terdapat pembagian tugas dan tanggung jawab o Ada kecenderungan untuk bertumpu pada pengetahuan individu sehingga kesalahan cenderung terjadi. PO6 level 2: o Keperluan untuk kebijakan kontrol, rencana dan prosedur diceritakan oleh pimpinan, tetapi perkembangannya diserahkan pada kebijaksanaan manajer perseorangan dan perusahaan. o Kualitas diakui sebagai filsafat diinginkan untuk diikuti, tetapi latihan diserahkan pada kebijaksanaan manajer perseorangan. o Pelatihan diberikan pada seorang karyawan, sebagai keperlukan dasar. AI1 level 2: o Pemecahan masalah yang ada masih berubah-ubah dan dikenali secara informal berdasarkan pengalaman dan pengetahuan. Metode tidak terstruktur dipergunakan untuk mengenali pemecahan teknologi. o Keberhasilan masing-masing proyek bergantung pada keahlian pandangan individu utama. Keputusan yang dihasilkan berubah-ubah. AI2 level 2: o Proses untuk memelihara sistem berdasarkan keahlian fungsi TI dan biasanya problematik.

76 186 o Kemampuan dalam penggunaan sistem bergantung dari pengalaman dan pemakaian operasional sehari-hari. o Ada sedikit pertimbangan keamanan sistem dan ketersediaan dalam rancangan. AI3 level 1: o Ada perubahan yang dibuat untuk prasarana dalam setiap aplikasi baru,tanpa rencana secara keseluruhan. o Walaupun ada kesadaran bahwa prasarana IT penting,tidak ada pemantauan prasarana TI secara konsisten. o Pemeliharaan bereaksi terhadap keperluan jangka-pendek. AI4 level 2: o Pendekatan yang digunakan untuk menghasilkan prosedur dan dokumentasi tidak berdasarkan pendekatan terstruktur atau kerangka kerja. Tidak ada pendekatan seragam sampai perkembangan pemakai dan menjalankan prosedur. o Prosedur dan kualitas dari pemakai berubah-ubah dengan sedikit konsistensi dan integrasi dengan organisasi. o Training program untuk bisnis dan pemakai disediakan atau facilitated,but tidak ada rencana keseluruhan utk training. Training dilakukan berdasarkan pengetahuan individu dan kualitas ditentukan oleh user yang terlibat.