L1 LAMPIRAN A KUESIONER Menetapkan Dan Mengatur Tingkatan Layanan (DS1) 1 Setiap penggunaan sistem informasi harus melaksanakan aturan yang ditetapkan perusahaan 2 Pimpinan masing-masing unit organisasi mengorganisir pencapaian kerja setiap stafnya 3 Perusahaan cepat tanggap atas keluhan user dan merumuskannya secara tim 4 Peningkatan layanan informasi dilakukan berdasarkan prosedur program unitnya 5 Volume pekerjaan dievaluasi secara terjadwal sesuai program kerja 6 Distribusi data untuk setiap unit organisasi dilakukan berdasarkan permintaan user dan tidak menunggu proses Mengelola Layanan Dari Pihak Ketiga (DS2) 1 Kebijakan TI dan prosedur berkaitan dengan hubungan pihak ketiga yang ada dan konsisten dengan kebijakan umum organisasional 2 Kebijakan yang ada secara spesifik menentukan kebutuhan untuk kontrak, definisi atas isi dari kontrak, pemilik atau manajer yang bertanggungjawab untuk memastikan kontrak yang dibuat, dijaga, dipantau, dan diatur ulang sesuai kebutuhan 3 Kontrak dibuat untuk kelangsungan layanan secara spesifik, dan kontrak ini termasuk perencanaan kontigensi oleh vendor untuk memastikan kelangsungan layanan terhadap user 4 Kontrak merepresentasikan catatan hubungan pihak ketiga secara lengkap 5 Pihak ketiga yang potensial ditentukan sesuai dengan kualifikasi yang tepat melalui perkiraan atas kemampuannya pada layanan pengiriman yang dibutuhkan 6 Adanya pembentukan tim dari luar untuk merumuskan masalah perubahan TI dan sistem kerjanya 7 Pihak manajemen melakukan pemantauan langsung terhadap pembelian produk TI dari pemasok
L2 Mengatur Kapasitas Dan Kinerja (DS3) 1 Penggunaan sistem informasi pada server harus mendapatkan ijin terlebih dahulu oleh pimpinan masing-masing unit 2 Setiap karyawan memiliki tempat kerja yang sesuai dengan keahlian menggunakan komputer 3 Setiap komputer diberikan peralatan tambahan sesuai dengan kebutuhan pekerjaan setiap user 4 Sistem informasi jaringan internal digunakan berdasarkan penjadwalan 5 Program kebutuhan pengelola sistem informasi untuk satu tahun kedepan direncanakan berdasarkan fungsi pekerjaan 6 Penggunaan komputer untuk kepentingan pekerjaan diatur berdasarkan jam kerja 7 Dalam pengelolaan evaluasi penyelenggaraan kegiatan riset didukung software khusus 8 Peremajaan komputer dilakukan berdasarkan atas keusangan komputer, disesuaikan dengan kebutuhan kerja Menjamin Layanan Berkelanjutan (DS4) 1 Adanya prosedur darurat untuk menjamin keamanan dari pengguna sistem informasi 2 Semua kebijakan dan prosedur yang berkenaan dengan rencana pengembangan telah diikuti 3 Kebutuhan persediaan peralatan diidentifikasi, seperti printer berkecepatan tinggi, peralatan komunikasi, dan sebagainya, serta alternatifnya didefinisikan 4 Adanya informasi logistik lokasi sumber daya kunci, termasuk tempat backup untuk pemulihan sistem operasi, file data, manual operasi, dan dokumentasi program, dokumentasi sistem, serta dokumentasi pengguna 5 Adanya pembagian jumlah sesi pelatihan yang dibutuhkan, berdasarkan intensitas penggunaan aplikasi tersebut 6 Mereview aktivitas operasional user dan menjadikannya sebagai feedback untuk perbaikan strategi pelatihan 7 Media back up disimpan terpisah dengan pengoperasian sistem komputer Menjamin Keamanan Sistem (DS5) 1 Setiap user dalam penggunaan komputer melakukan login terlebih dahulu 2 Setiap karyawan dalam penggunaan komputer didaftar terlebih dahulu
L3 3 Pengawasan pemeliharaan server, dilakukan oleh unit sistem informasi 4 Diberlakukan pendefinisian hak akses setiap user untuk kemudahan pengendalian pertanggungjawaban 5 Permintaan user untuk perbaikan komputer dilakukan berdasarkan standard keamanan 6 Adanya standard pencegahan, pendeteksian, gangguan virus 7 Adanya proteksi untuk hak akses pada jaringan sistem informasi 8 Setiap ada permasalahan pada komputer, user dilengkapi acuan prosedur perbaikan 9 Unit sistem informasi perusahaan menggunakan sistem pengendalian absensi untuk penggunaan komputer 10 Keamanan penggunaan internet diatur oleh unit sistem informasi 11 Data dokumen untuk penyimpanan pada server dilakukan secara klasifikasi 12 Setiap karyawan dalam mengakses data dengan otomatis sudah tercatat dalam server 13 Setiap karyawan mendapatkan otoritas penuh dalam perolehan data terpusat 14 Dilakukan pendeteksian terhadap data yang keluar masuk pada server 15 Setiap komputer milik karyawan dilengkapi dengan program deteksi kerusakan 16 Kecurangan modifikasi data oleh orang yang tidak bertanggung jawab dapat diketahui 17 Server yang dikelola unit informasi dilengkapi sistem proteksi yang bertahap 18 Klasifikasi data yang disimpan pada server dilakukan berdasarkan panduan Mengidentifikasi Dan Mengalokasi Biaya (DS6) 1 Perawatan perlengkapan teknologi informasi disusunkan sesuai anggaran kebutuhannya 2 Mengkomunikasikan produk TI yang akan dibeli dengan perwakilan kelompok user yang secara langsung terlibat di dalam aktivitas bisnis perusahaan 3 Biaya pembelian produk TI dipertimbangkan dengan memperhatikan pelatihan yang harus diberikan pada user, kesiapan user dalam mengoperasikan produk tersebut, dan adaptasi produk terhadap prosedur perusahaan 4 Memilih pemasok berdasarkan pengalaman, kompetensi, kinerja dalam memenuhi order yang diinginkan, selain kelayakannya dari sisi finansial 5 Menetapkan kebijakan, standar, dan prosedur pelayanan yang harus ditaati oleh pemasok dalam memenuhi tugasnya Mendidik Dan Melatih Pengguna (DS7) 1 Perubahan sistem kerja diimbangi dengan pengarahan, sosialisasi, pendidikan,
L4 dan pelatihan karyawan 2 Pelatihan pada karyawan dilakukan secara periodik 3 Pengembangan kompetensi SDM melalui pendidikan dan pelatihan, sesuai kebutuhan organisasi 4 Pelatih dipilih berdasarkan kompetensi maupun latar belakang pendidikan dan pengalaman yang ia miliki 5 Adanya pihak penyelia atau tim berpengalaman yang melakukan pemantauan terhadap personil yang baru dilatih Membantu Dan Memberikan Masukan Kepada Pengguna (DS8) 1 Staf helpdesk dipilih berdasarkan kompetensi maupun latar belakang pendidikan dan pengalaman yang ia miliki 2 Staf teknisi dipilih berdasarkan kompetensi maupun latar belakang pendidikan dan pengalaman yang ia miliki 3 Tersedia dokumentasi yang cukup untuk membantu staf helpdesk dalam menjalankan aktivitasnya 4 Adanya prosedur dan kebijakan yang mengatur aktivitas helpdesk 5 Melakukan evaluasi terhadap kepuasan user terhadap layanan sistem informasi 6 Memantau kinerja staf sistem informasi dalam menindaklanjuti permasalahan yang timbul 7 Melakukan review terhadap pertanyaan user, menganalisis trend, mengurutkan masalah yang timbul dan melakukan langkah antisipasi untuk mengurangi kejadian yang sama 8 Adanya review di tingkat manajerial tentang kinerja sistem informasi yang dilakukan secara reguler Mengelola Konfigurasi (DS9) 1 Adanya fasilitas yang dapat memantau per tukaran informasi antar departemen 2 Adanya prosedur dan mengkomunikasikannya pada user untuk membatasi penggunaan disket di dalam sistem otomasi perkantoran 3 Adanya kebijakan, prosedur, dan standard; berisi etika penggunaan komputer dan hak akses user terhadap data, yang mengikat user secara hukum 4 Adanya prosedur pemantauan terhadap aktifitas pengaksesan database oleh pihak pengelola di lingkungan perusahaan 5 Menghindari akses yang tidak diotorisasi dari software yang tidak bermanfaat 6 Penyusunan dokumentasi data disesuaikan dengan standard yang sudah ditentukan
L5 Mengelola Kegiatan Dan Permasalahan (DS10) 1 Prosedur pengelolaan masalah tersedia untuk mencatat, menganalisa, memecahkan masalah pada saat penanganan semua kejadian-kejadian yang bukan bagian dari standard operasi 2 Prosedur pengelolaan masalah tersedia untuk pemberitahuan kepada tingkat manajemen yang sesuai mengenai peningkatan dan kewaspadaan terhadap masalah dan insiden 3 Prosedur pengelolaan masalah tersedia untuk membangun laporan insiden untuk kejadian-kejadian penting dan pelaporan kepada user 4 Kejadian operasional yang bukan bagian dari standard operasi dapat dicatat, dianalisa dan diatasi dalam suatu waktu penanganan, dan laporan insiden dibuat khususnya untuk masalah-masalah yang signifikan 5 Prosedur pengelolaan masalah tersedia untuk melacak masalah yang cenderung menggunakan sumberdaya secara berlebihan 6 Prosedur pengelolaan masalah tersedia untuk mengidentifikasi jenis masalah dan metodologi pemrioritasan yang diijinkan untuk berbagai usaha pemecahan dengan berdasarkan pada resiko Mengelola Data (DS11) 1 Pengelolaan data sistem informasi dilakukan sesuai dengan urutan yang ditetapkan 2 Data yang tersedia telah terintegrasi dan dapat diakses oleh semua unit organisasi 3 Data dokumen hasil kerja karyawan diberi hak penyimpanan pada komputer server 4 Setiap karyawan perlu melakukan backup data dokumen di komputer masingmasing 5 Backup dapat dilakukan oleh masing-masing unit organisasi 6 Distribusi output diberikan kepada karyawan yang mempunyai tugas khusus 7 Penanganan kesalahan input pada server dilakukan segera oleh unit sistem informasi 8 Meningkatkan keamanan informasi dan integritas data melalui teknologi yang sesuai 9 Adanya kebijakan, prosedur, dan standard tertulis tentang integritas dan keamanan data 10 Sistem pengelolaan data pada server dilakukan oleh unit sistem informasi 11 Adanya proteksi data dan informasi dari pihak yang tidak berwenang 12 Pengarsipan data dokumen disimpan pada komputer masing-masing karyawan 13 Pemrosesan data dokumen dapat dilakukan disetiap komputer karyawan 14 Adanya validasi pemrosesan data dan pengeditan dengan segera
L6 15 Sistem dokumentasi disusun berdasarkan format standard file data komputer di masing-masing unit organisasi 16 Sharing data dilakukan dalam bentuk file data dan disimpan pada komputer server 17 Sistem pengarsipan data dilakukan dengan berbasis komputer dan manual 18 Data diorganisasi dan diubah menjadi informasi dengan format yang bermanfaat untuk pembuatan keputusan 19 Sistem informasi dilengkapi proteksi informasi sensitif selama transmisi 20 Data dan informasi yang disebarkan memiliki format dan metode standard yang sesuai dengan kebutuhan user, selain mudah untuk diambil dan diinterpretasikan 21 Backup dan restore dilakukan setiap ada pemrosesan data dari pengguna sistem informasi 22 Distribusi data dan informasi dilakukan secara tepat dan akurat 23 Adanya laporan pertanggungjawaban kegiatan karyawan dalam penggunaan komputer server 24 Data dan informasi disimpan selama kurun waktu tertentu, sesuai dengan hukum dan peraturan, standard kualitas pelayanan, serta kebutuhan sistem informasi lainnya 25 Penyimpanan dan pengambilan data didesain dengan mempertimbangkan aspek keamanan, kerahasiaan, dan kemudahan akses Mengelola Fasilitas (DS12) 1 Ruangan kerja pada komputer server dilengkapi fasilitas AC 2 Penggunaan ruangan kerja untuk sistem informasi mengharuskan ijin terlebih dahulu 3 Setiap komputer menggunakan Uninterruptible Power Supply (UPS) 4 Adanya prosedur pemantauan terhadap aktivitas pengunjung oleh pihak keamanan di lingkungan perusahaan 5 Adanya kebijakan serta peraturan ketat yang membatasi pengunjung terhadap akses secara fisik terhadap perangkat keras 6 Ruangan komputer dilengkapi dengan alarm untuk mendeteksi asap, api, dan kamera yang diletakkan di lokasi strategis 7 Ruangan komputer memiliki koneksi dengan generator listrik utama perusahaan untuk melindungi terhadap pemutusan listrik yang lama 8 Perbaikan fasilitas komputerisasi dilakukan sesuai dengan peraturan perusahaan Mengelola Operasi (DS13) 1 Memelihara dan memeriksa log secara teratur untuk mendeteksi penggunaan
sistem yang tidak terotorisasi 2 Melatih prosedur yang harus ditempuh user saat sistem down 3 Teknik backup data yang efektif (baik sistem dalam keadaan normal maupun down) 4 Teknik restore data yang efektif (baik sistem dalam keadaan normal maupun down) 5 Adanya lokasi alternatif jika PC user tidak bisa dioperasikan (misalnya karena kerusakan) 6 Pengaksesan disesuaikan dengan standar penjadwalan jam kerja L7
L8 LAMPIRAN B PURCHASE ORDER
L9 LAMPIRAN C SALES ORDER
L10 LAMPIRAN D FAKTUR PENJUALAN
L11 LAMPIRAN E SURAT JALAN
L12 LAMPIRAN F LAPORAN PENJUALAN
L13 LAMPIRAN G LAPORAN PIUTANG
L16 LAMPIRAN J LAPORAN HASIL EVALUASI Kepada Perihal : PT PRIMA CIPTA INSTRUMENT : Laporan Hasil Evaluasi Sistem Informasi Distribusi Periode : Mei 2008 LAPORAN HASIL EVALUASI SISTEM INFORMASI DISTRIBUSI PT PRIMA CIPTA INSTRUMENT I. Tujuan Tujuan dari pelaksanaan evaluasi sistem informasi distribusi pada PT Prima Cipta Instrument adalah sebagai berikut: 1. Mengidentifikasi dan menganalisa proses-proses TI khususnya pada domain Delivery and Support apakah telah mencapai tingkat kematangan penerapan yang optimal 2. Mengetahui tingkat kematangan penerapan sistem informasi khususnya pada domain Delivery and Support apakah telah mencapai tingkat yang optimal 3. Memberikan rekomendasi untuk memperbaiki dan meningkatkan kinerja TI pada perusahaan berdasarkan hasil evaluasi sistem informasi II. Ruang Lingkup Evaluasi sistem informasi pada PT Prima Cipta Instrument menggunakan pendekatan COBIT dengan domain Delivery and Support. Proses-proses yang dievaluasi adalah sebagai berikut:
L17 a. DS1, Menetapkan Dan Mengatur Tingkat Layanan (Define & Manage Service Levels) b. DS2, Mengelola Layanan Dari Pihak Ketiga (Manage Third-Party Services) c. DS3, Mengatur Kapasitas Dan Kinerja (Manage performance & Capacity) d. DS4, Menjamin Layanan Berkelanjutan (Ensure Continuous service) e. DS5, Menjamin Keamanan Sistem (Ensure System Security) f. DS6, Mengidentifikasi Dan Mengalokasi Biaya (Identify & Allocate Cost) g. DS7, Mendidik Dan Melatih Pengguna (Educate & Train Users) h. DS8, Membantu Dan Memberikan Masukan Kepada Pelanggan (Assist and Advise Customers) i. DS9, Mengelola Konfigurasi (Manage the Configuration) j. DS10, Mengelola Kegiatan Dan Permasalahan (Manage problems and Incidents) k. DS11, Mengelola Data (Manage Data) l. DS12, Mengelola Fasilitas (Manage Facility) m. DS13, Mengelola Operasi (Manage Operations) III. Metode Audit Metode audit yang digunakan adalah metode audit around the computer, yaitu pendekatan dan pengujian yang hanya berfokus pada input dan output dari sistem komputer.
L18 IV. Hasil Evaluasi Berikut adalah hasil evaluasi sistem informasi distribusi PT Prima Cipta Instrument: 1. Evaluasi Terhadap Posisi Proses - Proses Penyampaian dan Dukungan a. Menetapkan Dan Mengatur Tingkatan Layanan (DS1) Berada pada Level 3, yaitu Proses Ditetapkan. Posisi ini berarti prosedur sistem informasi telah didokumentasikan, dikomunikasikan dan dilatih. b. Mengelola Layanan Dari Pihak Ketiga (DS2) Berada pada Level 1, yaitu Proses Inisial. Posisi ini berarti proses ditangani tanpa adanya standard dan pengelolaan. c. Mengatur Kapasitas Dan Kinerja (DS3) Berada pada Level 1, yaitu Proses Inisial. Posisi ini berarti proses ditangani tanpa adanya standard dan pengelolaan. d. Menjamin Layanan Berkelanjutan (DS4) Level 2, yaitu Proses Diulang. Posisi ini berarti prosedur telah dikembangkan dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. e. Menjamin Keamanan Sistem (DS5) Level 2, yaitu Proses Diulang. Posisi ini berarti prosedur telah dikembangkan dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. f. Mengidentifikasi Dan Mengalokasi Biaya (DS6)
L19 Berada pada Level 3, yaitu Proses Ditetapkan. Posisi ini berarti prosedur sistem informasi telah didokumentasikan, dikomunikasikan dan dilatih. g. Mendidik Dan Melatih Pengguna (DS7) Berada pada Level 3, yaitu Proses Ditetapkan. Posisi ini berarti prosedur sistem informasi telah didokumentasikan, dikomunikasikan dan dilatih. h. Membantu Dan Memberikan Masukan Kepada Pengguna (DS8) Level 2, yaitu Proses Diulang. Posisi ini berarti prosedur telah dikembangkan dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. i. Mengelola Konfigurasi (DS9) Berada pada Level 3, yaitu Proses Ditetapkan. Posisi ini berarti prosedur sistem informasi telah didokumentasikan, dikomunikasikan dan dilatih. j. Mengelola Kegiatan Dan Permasalahan (DS10) Berada pada Level 0, yaitu Proses Tidak Ada. Posisi ini berarti perusahaan tidak mengenal proses ini. k. Mengelola Data (DS11) Berada pada Level 3, yaitu Proses Ditetapkan. Posisi ini berarti prosedur sistem informasi telah didokumentasikan, dikomunikasikan dan dilatih. l. Mengelola Fasilitas (DS12)
L20 Berada pada Level 2, yaitu Proses Diulang. Posisi ini berarti prosedur telah dikembangkan dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. m. Mengelola Operasi (DS13) Level 2, yaitu Proses Diulang. Posisi ini berarti prosedur telah dikembangkan dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. 2. Evaluasi Terhadap Posisi Domain Penyampaian dan Dukungan Berada pada Level 2, yaitu Proses Diulang. Posisi ini berarti secara keseluruhan setiap proses TI pada domain Penyampaian dan Dukungan telah mengembangkan prosedur dan diikuti oleh setiap orang yang terlibat, tetapi tidak ada pelatihan dan komunikasi. V. Rekomendasi Berdasarkan hasil analisis terhadap temuan-temuan evaluasi maka diajukan beberapa rekomendasi sebagai berikut: 1. Peningkatan pelayanan informasi sebaiknya dilakukan berdasarkan prosedur program unitnya 2. Pihak manajemen sebaiknya membentuk tim dari luar untuk merumuskan masalah perubahan TI dan sistem kerjanya 3. Pemakaian komputer oleh karyawan internal dapat dipergunakan untuk kerja lembur dan dibatasi pemakaiannya 4. Dibiasakan mereview aktivitas operasional pengguna untuk dijadikan feedback dalam perbaikan strategi pelatihan
L21 5. Setiap perbaikan komputerisasi dianjurkan untuk mengikuti standard keamanan 6. Pemantauan pemasok dalam menjalankan standard dan prosedur sesuai dengan kebutuhan TI perusahaan 7. Disiapkan tim berpengalaman yang melakukan pemantauan terhadap karyawan yang baru dilatih 8. Kinerja staf sistem informasi dianjurkan untuk dinilai dalam menindak lanjuti permasalahan karyawan 9. Penyusunan dokumentasi data pada komputer kerja dilakukan berdasarkan standard yang sudah ditentukan 10. Prosedur pengelolaan masalah disediakan untuk membangun laporan insiden dan kejadian-kejadian penting 11. Sistem pengarsipan data secara manual dianjurkan untuk diwajibkan lagi 12. Pemakaian ruangan kerja untuk sistem informasi dibiasakan untuk mendapatkan ijin terlebih dahulu, dan setiap komputer dianjurkan menggunakan UPS 13. Melakukan pelatihan terhadap pengguna tentang prosedur yang harus ditempuh pengguna saat sistem down Demikianlah hasil laporan evaluasi sistem informasi distribusi pada PT Prima Cipta Instrument. Jakarta, 29 Mei 2008 TIM AUDIT