BAB 4

ANALISIS DAN BAHASAN

Pada bab ini, analisis data mencakup tentang penerapan dan pengukuran kinerja (Maturity Level) terhadap Tata Kelola di PT ANTAM (Persero) Tbk. Data yang didapat merupakan hasil wawancara maupun dokumen-dokumen terkait. Tahap-tahap analisis diawali dengan pemetaan Business Goals di perusahaan dan CobIT, kemudian berdasarkan hasil pemetaan tersebut akan diidentifikasi IT goals, IT Process, serta Control Objectives berdasarkan COBIT yang dapat menjadi sasaran di perusahaan, hingga tahap yang terakhir yaitu Maturity Level, dimana penilaian kinerja secara keseluruhan menghasilkan suatu level tertentu. Selain itu dalam bab ini juga membahas tentang audit atas pengendalian umum dan pengendalian aplikasi terhadap perusahaan.

4.1 Audit Atas Pengendalian Umum

4.1.1. Pengendalian Manajemen

Tujuan dari audit area ini adalah untuk mendapatkan gambaran mengenai manajemen dan organisasi teknologi informasi serta menilai kelayakan dan kecukupan pengendalian yang ada.

Dalam area ini akan ditinjau apakah terdapat strategi TI baik jangka pendek maupun jangka panjang, kemudian kebijakan, sistem dan prosedur TI yang memadai. Selain itu akan ditinjau mengenai apakah terdapat struktur organisasi yang mendukung kinerja bagian TI, dan apakah organisasi tersebut ditunjang dengan

sumber daya yang baik yang berupa anggaran/pembiayaan maupun tenaga kerja di bagian TI.

Selanjutnya dalam area ini akan ditinjau apakah terdapat quality assurance dan monitoring atas kinerja bagian TI.

4.1.2. SUB AREA 1 : IT Strategy

Dari hasil wawawancara dengan pihak terkait, penulis menemukan bahwa pada PT ANTAM (Persero) Tbk ini, terdapat strategi TI dan rencana jangka panjang maupun jangka pendek. Strategi TI serta rencana jangka panjang dan rencana jangka pendek dibuat oleh divisi ICT. Rencana jangka panjang (IT Master Plan) dibuat untuk perencanaan yang akan dilakukan dalam jangka waktu 5 tahun. Rencana jangka panjang ini biasanya menganalisis kegiatan di PT ANTAM yang bisa disistemkan. Divisi ICT melakukan perencanaan dengan memperkirakan biaya, waktu dan apakah ada pihak yang dapat mendukung berjalannya pemenuhan kegiatan sistem tersebut. Tahapan analisis ini terdiri dari menganalisa kegiatan yang dilakukan oleh divisi system analys, lalu dilakukan coding oleh divisi programmer, setelah itu dilakukan percobaan oleh divisi key user, lalu yang terakhir melakukan penyebaran atas hasil analisis yang dilakukan oleh divisi operasional. Sedangkan rencana jangka pendek yaitu IT Technical Plan dan IT Capacity Planning dibuat untuk perencanaan yang akan dilakukan dalam jangka waktu 1 tahun. Kegiatan rencana jangka pendek ini mencakup akan kebutuhan tekhnis dan hardware yang diperlukan oleh divisi IT. Selain itu terdapat pula kebijakan, sistem dan prosedur tertulis yang mengatur kinerja bagian TI perusahaan yang dibuat juga oleh divisi ICT.

4.1.3. SUB AREA 2 : Policy, Standard Procedure and External Requirement

Bagian TI aktif meninjau apakah penggunaan teknologi di PT ANTAM (Persero) Tbk telah sesuai dengan hukum dan Undang-Undang Hak Cipta, sehingga tercapai suatu kesepakatan manajemen bahwa di masa yang akan datang perusahaan akan menuju ke arah Open Source. Saat ini semua software yang dipakai dalam kegiatan sehari-hari pada perusahaan merupakan software-software yang resmi.

Selain itu kebijakan pengamanan data dan sumber daya TI pun sudah ada di perusahaan ini.

4.1.4. SUB AREA 3 : Organisasi Bagian TI

Struktur organisasi bagian TI pada PT Antam (Persero) Tbk berada dibawah direktur sumber daya manusia, yan terbagi atas divisi ICT dan IT Governance yang dibagi tugasnya atas hardware and network dan IT support.

Divisi ICT dan IT Governance bekerja atas perencanaan sendiri dengan menganalisis pemenuhan kegiatan sistem di perusahaan. Dalam hal ini divisi ICT dan IT Governance bertugas untuk membuat kebijakan IT, perencanaan & alignment bisnis, pengembangan sistem ICT, pengoperasian sistem ICT, monitoring & evaluasi, manajemen informasi, keamanan sistem serta melakukan kontinuitas atas sistem ICT.

Secara keseluruhan divisi IT perusahaan telah bekerja secara kompeten karena sudah terdapat tenaga kerja yang mengatur kegiatan TI yang menyangkut hardware, jaringan dan support.

4.1.5. SUB AREA 4 : IT Resources

Anggaran bagian TI merupakan bagian dari anggaran departemen finance. Anggaran bagian TI setiap tahunnya berkisar antara 20 milyard. Anggaran bagian TI dilakukan dengan taat sesuai dengan kebutuhannya dan sudah pernah dilakukan analisa realisasi anggaran dan manfaat yang diperoleh dari realisasi tersebut.

Sumber daya TI pada PT ANTAM (Persero) Tbk terdiri dari ICT dan IT Governance. Pembagian tugasnya diantaranya adalah membuat kebijakan IT, perencanaan & alignment bisnis, pengembangan sistem ICT, pengoperasian sistem ICT, monitoring & evaluasi sistem ICT, manejemen informasi, keamanan sistem ICT dan mengamati serta menganalisis kontinuitas sistem ICT. Perusahaan juga secara rutin telah melakukan sosialisasi dan pelatihan teknologi informasi baik kepada personil teknologi informasi maupun user.

4.1.6. SUB AREA 5 : Quality Assurance

Sudah terdapat quality assurance secara formal di dalam bagian TI. Perusahaan menggunakan SLA (Service Level Agreement) sebagai standar penilaian untuk menilai kualitas pelayanan perusahaan. Perusahaan juga telah melakukan telaahan secara periodik terhadap kinerja sistem di DTI maupun di user.

4.1.7. SUB AREA 6 : Monitoring

PT ANTAM (Persero) Tbk sudah melakukan audit atas bagian TI secara rutin setiap tahunnya. Analisis risiko terhadap kegiatan yang berkaitan dengan teknologi juga sudah pernah dilakukan. Sehingga fungsi monitoring terhadap bagian TI sudah terpantau dengan baik.

4.2 Pengendalian Pengembangan Sistem dan Dokumentasi

Audit atas area ini adalah untuk mendapatkan gambaran secara lengkap mengenai pengembangan, pengubahan, pemeliharaan dan pendokumentasian sistem dan aplikasi serta kelayakan dan kecukupan pengendalian yang ada.

4.2.1. SUB AREA 1 : Pengembangan Sistem dan Aplikasi

Dari hasil wawancara dengan divisi terkait, diperoleh informasi bahwa sistem ICT pada PT ANTAM (Persero) Tbk terbagi atas 2 yaitu aplikasi dan infrastruktur. Pada bagian aplikasi, diketahui bahwa perusahan menggunakan beberapa aplikasi untuk mendukung kegiatan TI pada perusahaan, diantaranya adalah aplikasi ERP, non ERP dan aplikasi pendukung. Sedangkan pada bagian infrastruktur juga terbagi atas beberapa bagian, diantaranya adalah bagian yang mengurusi pheriperal, server, email, storage database dan network telecommunication.

Pengembangan sistem atau aplikasi dilakukan oleh bagian ICT dan IT Governance dengan melakukan analisis sebelumnya untuk melakukan pengembangan aplikasi baru, perubahan atau penambahan fungsi/menu aplikasi lama.

Ada beberapa tahapan yang harus dilakukan dalam pengembangan aplikasi baru, diantaranya adalah melakukan analisa terlebih dahulu dengan melihat bagian mana yang memerlukan pengembangan aplikasi. Setelah melakukan analisa dan menemukan temuan akan butuhnya pengembangan aplikasi baru dilakukan perencanan untuk melakukan pengembangan aplikasi tersebut. Perencanaan tersebut adalah dengan menganalisa berapa biaya yang dibutuhkan, waktu, dan orang yang

melakukan coding, lalu divisi key user yang melakukan testing akan pengembangan sistem aplikasi tersebut dan terakhir baru dilakukan pengoperasian oleh divisi deployment.

4.2.2. SUB AREA 2 : Manajemen Proyek

Proyek pengembangan aplikasi di PT ANTAM (Persero) Tbk dilakukan oleh user dengan tahapan awal memberikatahukan divisi ICT terhadap kebutuhan aplikasi dengan membuat proposal pengembangan proyek, setelah itu di review oleh bagian ICT. Apabila bagian ICT menyetujui proposal tersebut maka dilanjutkan dengan membuat project charter (deskripsi umum) dan project plan (gambaran umum timeline) yang dibuat oleh divisi ICT yang berhubungan dengan user. Setelah project charter dan project plan disetujui, user melakukan analisa akan kebutuhan aplikasi lalu dilanjutkan dengan membuat perancangan atau design aplikasi dan mengembangkan aplikasi tersebut. Aplikasi yang sudah dikembangankan akan dicoba (testing) oleh divisi internal ICT setelah itu dilakukan User Acceptance Test (UAT) dan yang apabila tidak ada perubahan maka akan dilakukan transisi dari saat aplikasi dikembangkan dan dioperasikan.

Kemajuan proyek pengembangan aplikasi tersebut selalu dipantau dengan baik secara rutin selama dua minggu atau satu minggu sekali tergantung project yang dikerjakan.

4.2.3. SUB AREA 3 : Dokumentasi

Dokumentasi yang paling valid yang bisa ditemukan di PT Antam (Persero) Tbk dari setiap proyek pengembangan aplikasi diantaranya adalah sistem proposal, project charter, project plan, analisa, perancangan (design), administration guide

dan deployment guide. Selain itu juga sudah ada standar dan prosedur formal mengenai perencanaan dan pengembangan aplikasi dan sistem.

Dokumentasi tersebut juga sudah disimpan dengan baik dan teratur sehingga dapat memudahkan seseorang apabila ingin mencari manual sebuah aplikasi. Sudah terdapat standar dokumentasi pengembangan sistem, dan bagian TI serta manajemen rutin melakukan review atas dokumentasi ini secara bertahap atau sekaligus di akhir saat dokumentasi selesai.

Sudah terdapat pemisahan tingkat dokumentasi berdasarkan level jabatan, manajemen, staff, outsource, atau pihak ketiga. Hanya manajemen yang dapat melihat semua dokumentasi yang ada.

Dari hasil observasi juga ditemukan bahwa terdapat panduan konversi data dari sistem lama ke sistem baru dan apabila sistem diperbaharui pasti ada konversi data. Sudah terdapat pedoman mengenai informasi apa saja yang harus dikonversi. Misal aplikasi A, karena aplikasi sudah tidak fungsional dan tidak bisa digunakan maka aplikasi di upgrade dari informasi yang lama diganti ke yang baru dan yang bertanggung jawab tergantung projectnya.

Bagan alur dan naratif, tujuan dan fungsi aplikasi, deskripsi data dan record terdapat dokumennya. Sedangkan untuk user manual cukup dapat dimengerti.

4.3 PENGENDALIAN KEAMANAN

Audit area ini adalah untuk mengetahui dan menilai kelayakan dan kecukupan pengamanan terhadap sumber daya teknologi informasi.

4.3.1. SUB AREA 1 : General

Dari wawacara dengan divisi ICT, diketahui bahwa perusahaan peduli akan keamanan khususnya keamanan logical dan sudah ada kebijakan mengenai keamanan sistem informasi secara tertulis. PT Antam (Peresreo) Tbk menggunakan firewall, audit trail log dan sistem password. Penggunaannya sudah mengikuti standar password yang berlaku seperti : panjang minimum, kombinasi huruf dan angka dan ketentuan pembaharuan password secara berkala.

4.3.2. SUB AREA 2 : Pengendalian Fisik

Pengendalian keamanan fisik diterapkan untuk mencegah penggunaan data atau file dan program komputer oleh orang yang tidak seharusnya menggunakannya.

Dalam observasi diketemukan bahwa sudah terdapat auto lock apabila komputer ditinggal terlalu lama dan apabila login aplikasi juga ditinggal terlalu lama akan otomatis auto logout (ada section).

4.3.3. SUB AREA 3 : Pengendalian Lingkungan

Pengendalian lingkungan sangan erat kaitannya dengan Contingency Planning (CP) dan Disaster Recovery Plan (DRP). Pengujian lebih lanjut terhadap CP dan DRP diatur dalam Prosedur Audit CP & DRP.

Sudah terdapat pengendalian untuk menjaga ruang server dari api atau kebakaran, dengan alarm kebakaran yang akan berbunyi jika ada asap di dalam ruangan. Selain itu di dalam ruangan terdapat alat pemadam kebakaran yang berfungsi otomatis apabila alarm kebakaran berbunyi.

Prosedur darurat untuk pengamanan ruang server sudah tersedia yang meliputi cara penggunaan alat pemadam kebakaran, cara mengungsikan server dan sudah pernah dilakukan simulasi kebakaran.

4.3.4. SUB AREA 4 : Akses Logis ke dalam Sistem dan Aplikasi

Pada PT ANTAM (Persero) Tbk sudah terdapat pembatasan akses dan administrasi user ID yang dirancang oleh bagian TI. Pembatasan ini menggunakan sistem ID dan password yang apabila terjadi kesalahan pengisian password sebanyak 3 kali, ID yang bersangkutan tidak akan di-hold dan bagi user tersebut sistem menjadi tetap aktif. Selain itu sudah terdapat audit trail log dan password rutin diperbaharui setiap sebulan sekali dan log audit trail juga rutin dievaluasi.

Yang dapat mengakses aplikasi ICT secara full hanya atasan dan bagian infrastruktur, bagian keamanan dan bagian jaringan. Sedangkan untuk bagian keuangan hanya dapat mengakses pembayaran, dokumen keuangan dan dokumen invoice.

1.4 Kesimpulan Pengendalian Umum

Tabel 4 : Simpulan pengendalian umum

No. Pengendalian Umum Simpulan Keterangan

1. Pengendalian manajemen

Cukup a. Sudah terdapat IT strategy, kebijakan dan prosedur tertulis. b. Arah kebijakan TI sudah

didefinisikan dengan jelas dan sudah dikomunikasikan kepada staff.

c. Sudah terdapat keseragaman arsitektur informasi.

cukup dalam hal jumlah dan kompetensi.

e. Sudah terdapat monitoring atas kinerja bagian TI.

f. Sudah ada quality assurance dan analisa resiko.

g. Sudah terdapat manajemen proyek.

h. Dokumentasi sudah lengkap dan sudah memenuhi standar. 2. Pengendalian fisik Cukup Sudah terdapat auto lock dan auto

logout. 3. Pengendalian

lingkungan

Cukup a. Sudah ada peraturan tertulis mengenai persyaratan ruang server.

b. Sudah terdapat peralatan yang cukup untuk menjaga kondisi ruangan server.

c. Sudah ada Disaster Recovery Planning (DRP) dan Disaster Recovery Center (DRC).

4. Akses logis ke dalam sistem dan aplikasi

Cukup Sudah terdapat aturan pembatasan akses logis ke dalam sistem dan aplikasi walaupun terbatas.

4.5 Identifikasi Business Goals

Pada tahap awal, yang akan dilakukan adalah mengidentifikasi tujuan bisnis dan sasaran PT ANTAM (Persero) Tbk, yang akan diselaraskan dengan business goals yang berlaku pada CobIT 4.1. sesuai dengan visi, misi, tujuan dan strategi perusahaan.

Adapun tujuan dan sasaran PT Antam (Persero) Tbk adalah sebagai berikut:

Tabel 5 : Business Goals (Tujuan dan sasaran) berdasarkan strategi, visi dan misi PT ANTAM (Persero) Tbk

Tujuan Sasaran Kebijakan

Meningkatkan nilai perusahaan Tingkat pertumbuhan pendapatan Memaksimalisasi output produksi Mempertahankan pertumbuhan Pengembangan proyek-proyek yang solid, aliansi strategis, akuisisi,.

Peningkatan kualitas dan nilai cadangan

Tidak hanya menjual bahan mentah, tetapi beralih untuk lebih meningkatkan kegiatan pemrosesan

Mempertahankan kekuatan keuangan perusahaan

Peningkatan perolehan pendapatan

Menjadi korporasi global berbasis pertambangan

Dengan memiliki pertumbuhan sehat dan standar kelas dunia

Menjadi perusahaan pemain global

Membangun dan menerapkan praktik-praktik terbaik kelas dunia

Tingkat kesehatan perusahaan

Menciptakan keunggulan operasional berbasis biaya rendah dan teknologi tepat guna

Meningkatkan keunggulan kompetitif

Mengolah cadangan yang ada dan yang baru

Memaksimalkan nilai pemegang saham

Mendorong pertumbuhan yang sehat dengan mengembangkan bisnis berbasis pertambangan, diversifikasi dan itegrasi selektif

Bidang SDM Meningkatkan kompetensi

dan kesejahteraan pegawai serta mengembangkan budaya organisasi berkinerja tinggi

Berikut ini merupakan tabel Business Goals menurut CobIT 4.1

Tabel 6 : Business Goals menurut CobIT 4.1

Financial Perspective

1 Provide a good return on investment of IT enabled business risk

2 Managed IT-related business risk

3 Improve corporate governance and transparency Customer

Perspective

4 Improve customer orientation and service 5 Offer competitive products and service 6 Establish service continuity and availability 7 Create agility in responding to changing business

requirement

8 Achieve cost optimization of service delivery

9 Obtain reliableand and useful information for strategic decision

Making

Internal Perspective 10 Improve and maintain business process functionality 11 Lower process cost

12 Provide compliance with external laws, regulations and Contracts

13 Provide compliance with internal policies 14 Manage business change

15 Improve and maintain operational and staff productivity Learning & Growth

Perspective

16 Manage product and business innovation

Berikut ini merupakan tabel hasil dari pemetaan tujuan dan sasaran bisnis PT ANTAM (Persero) Tbk yang sesuai dengan business goals yang berlaku di CobIT:

Tabel 7 : Hasil pemetaan business goals PT ANTAM (Persero) Tbk dan business goals CobIT

No. Tujuan dan Sasaran PT ANTAM (Persero) Tbk

No. Business Goals CobIT Business Goals Perspective CobIT 1. Meningkatkan nilai perusahaan melalui penurunan biaya 1. 11.

Provide a good returm on investment of IT enabled business risk

Lower process cost

Financial Persepective Internal Perspective 2. Meningkatkan pertumbuhan pendapatan melalui maksimalisasi output 1. 15.

Provide a good returm on investment of IT enabled business risk Improve and maintain operasional and staff productivity Financial Persepective Internal Perspective 3. Mempertahankan pertumbuhan dengan mengembangkan proyek-proyek yang solid, aliansi, strategis, akuisisi

10

16.

Improve and maintain business process functionality

Manage product and business innovation Internal Perspective Learning & Growth Perspective

4. Meningkatkan kualitas dan nilai cadangan dengan

meningkatkan kegiatan pemrosesan

10. products and service Improve and maintain business process functionality Perspective Internal Perspective 5. Mempertahankan kekuatan keuangan perusahaan dengan meningkatkan perolehan pendapatan

1. Provide a good returm on investment of IT enabled business risk

Financial Perspective

6. Menjadi korporasi global berbasis pertambangan dengan memiliki pertumbuhan sehat dan standar kelas dunia

8.

10.

Achieve cost

optimization of service delivery

Improve and maintain business process functionality Customer Perspective Internal Perspective

7. Menjadi perusahaan pemain global dengan membangun dan menerapkan praktik-praktik kelas dunia

8.

10.

Achieve cost

optimization of service delivery

Improve and maintain business process functionality Customer Perspective Internal Perspective 8. Meningkatkan kesehatan perusahaan dengan menciptakan keunggulan operasional berbasis biaya rendah

11. Lower process cost Internal Perspective

9. Meningkatkan keunggulan kompetitif dengan mengolah cadangan yang ada dan yang baru

5.

10.

Offer competitive products and service Improve and maintain business process functionality Customer Perspective Internal Perspective 10. Memaksimalkan nilai pemegang saham dengan mengembangkan bisnis berbasis pertambangan diversifikasi dan integrasi selektif 6. 14 Establish service continuity and availability Manage Business Change Customer Perspective Internal Perspective 11. Meningkatkan kompetensi dan kesejahteraan pegawai serta mengembangkan budaya organisasi

15.

17.

Improve and maintain operasional and staff productivity

Acquire and maintain skilled and motivated people Internal Perspective Learning & Growth Perspective

Dari hasil pemetaan di atas, dapat diketahui bahwa business goals perusahaan telah mencakup keempat perspektif yang ada dalam CobIT, penjelasannya adalah sebagai berikut:

a. Sasaran strategis perusahaan adalah meningkatkan pertumbuhan pendapatan. Sasaran ini dipadankan dengan business goals pertama

pada Perspektif Keuangan, yaitu menghasilkan ROI yang baik dari investasi bisnis, dengan TI sebagai provider yang mendukung strategi perusahaan. Selain itu, peningkatan pertumbuhan pendapatan juga dilakukan melalui menurunkan tingkat biaya agar dapat memaksimalisasi output produksi perusahaan. Hal ini berkaitan dengan business goals CobIT kelima belas pada Perspektif Internal, yaitu meningkatkan operasional dan produktivitas staf.

b. Sasaran perusahaan yang keempat, yaitu meningkatkan kualitas dan nilai cadangan dari sekedar menjual bahan mentah dan beralih untuk lebih meningkatkan kegiatan pemrosesan. Sasaran ini berkaitan dengan business goals CobIT pada Perspektif Pelayanan yang kelima dan Perspektif Internal kesepuluh, yaitu memberikan produk dan pelayanan yang kompetitif serta meningkatkan dan mempertahankan fungsi proses bisnis.

c. Sasaran perusahaan yang kedelapan, yaitu menciptakan keunggulan operasional berbasis biaya rendah dan teknologi tepat guna dengan mengutamakan kesehatan dan keselamatan kerja serta lingkungan hidup. Sasaran ini turut memenuhi business goals CobIT kesebelas pada Perspektif Internal, yaitu biaya proses rendah.

d. Sasaran perusahaan yang kesebelas, yaitu meningkatkan kompetensi dan kesejahteraan pegawai serta mengembangkan budaya organisasi berkinerja tinggi. Sasaran ini sama dengan business goals CobIT yang kelima belas pada Perspektif Internal dan yang ketujuh belas pada

dan pelayanan yang kompetitif serta memelihara kemampuan dan motivasi karyawan.

4.6 Identifikasi IT Goals

Tahap kedua yang dilakukan setelah mengidentifikasi business goals adalah dengan mengidentfikasi IT Goals, yang mana CobIT sendiri telah memetakan business goals dengan IT Goals yang ada, sehingga dari pemetaan tersebut dapat dilihat IT Goals apa saja yang nantinya dapat menunjang business goals perusahaan. Hal ini dapat kita lihat pada tabel berikut:

Tabel 8 : Linking business goals to IT goals

Business Goals IT Goals

Financial Perspective 1 Provide a good returm on investment of IT enabled business risk

24

Customer Perspective 5 Offer competitive products and service

5 24

6 Establish service continuity and availability

10 16 22 23

8 Achieve cost optimization of service delivery

7 8 10 24

Internal Perspective 10 Improve and maintain business process functionality

6 7 11

11 Lower process cost 7 8 13 15 24

14 Manage business change 1 5 6 11 28

15 Improve and maintain operasional and staff

productivity

Learning & Growth Perspective

16 Manage product and business innovation

5 25 28

17 Acquire and maintain skilled and motivated people

9

Adapun penjelasan dati IT Goals CobIT yang teridentifikasi adalah sebagai berikut:

Tabel 9 : CobIT IT goals yang teridentifikasi di PT ANTAM (Persero) Tbk 1 Respond to business requirements in alignment with business strategy

5 Create IT agility

6 Define how business functional and control requirements are translated in effective and efficient automated solutions

7 Acquire and maintain integrated and standardised application systems 8 Acquire and maintain an integrated and standardised IT infrastructure 9 Acquire and maintain IT skills that respond to the IT strategy

10 Ensure mutual satisfaction of third-party relationships

11 Seamlessly integrate applications and technology solutions into business processes 13 Ensure proper use and performance of the applications and technology solutions 15 Optimise the IT infrastructure, resources and capabilities

16 Reduce solution and service delivery defects and rework

22 Ensure minimum business impact in the event of an IT service disruption or change 23 Make sure that IT services are available as required

24 Improve IT's cost-efficiency and its contribution to business profitability 25 Deliver projects on time and on budget meeting quality standards

4.7 Identifikasi IT Process

Pada tahapan selanjutnya ialah menetapkan IT Process yang sesuai dengan IT Goals sesuai dengan studi kasus. Adapun IT Process yang berlaku ialah sebagai berikut:

Tabel 10 : Linking IT Goals to IT Process di PT ANTAM (Persero) Tbk

1 Respond to business requirements in alignment with business strategy

PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1

5 Create IT agility PO2 PO4 PO7 AI3 6 Define how business

functional and control requirements are translated in effective and efficient

automated solutions

AI1 AI2 AI6

7 Acquire and maintain integrated and standardised application systems

PO3 AI2 AI5

8 Acquire and maintain an integrated and standardised IT infrastructure

AI3 AI5

9 Acquire and maintain IT skills that respond to the IT strategy PO7 AI5 10 Ensure mutual satisfaction of third-party relationships DS2 11 Seamlessly integrate applications and technology solutions into business processes

13 Ensure proper use and performance of the applications and technology solutions

PO6 AI4 AI7 DS7 DS8

15 Optimise the IT infrastructure, resources and capabilities

PO3 AI3 DS3 DS7 DS9

16 Reduce solution and service delivery defects and rework

PO8 AI4 AI6 AI7 DS10

22 Ensure minimum business impact in the event of an IT service disruption or change

PO6 AI6 DS4 DS12

23 Make sure that IT services are available as required

DS3 DS4 DS8 DS13

24 Improve IT's cost-efficiency and its contribution to business profitability

PO5 DS6

25 Deliver projects on time and on budget meeting quality standards PO8 PO10 28 Ensure that IT demonstrates cost-efficient service quality, continuous improvement and readiness for future change

Jika disusun menurut domainnya, maka IT Process di PT Antam (Persero) Tbk adalah sebagai berikut:

Tabel 11 : Daftar IT Process PT ANTAM (Persero) Tbk

IT Domain IT Process

Plan and Organise PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO10

Acquire and Implementation AI1, AI2, AI3, AI4, AI5, AI6, AI7 Deliver and Support DS1, DS2, DS3, DS4, DS6, DS7, DS8,

DS9, DS10, DS12, DS13

Monitor and Evaluation ME1, ME4

Adapun deskripsi tiap-tiap IT Process ialah sebagai berikut:

Tabel 12 : Deskripsi IT Process yang teridentifikasi

Domain Deskripsi

Plan and Organise

PO1 Define Strategic IT Plan

PO2 Define the information architecture PO3 Determine technological direction

PO4 Define IT process, organization and relationship

PO5 Manage the IT Investment

PO6 Communicate management aims and direction

PO7 Manage IT human Resources

PO8 Manage quality

PO10 Manage projects

Acquire and Implementation

AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit solution and changes Deliver and Support

DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Manage service desk and incidents

DS9 Manage the configuration

DS10 Manage problems

DS12 Manage the physical environtment

DS13 Manage operations

Monitor and Evaluation

ME1 Monitor and evaluate IT performance

4.8 IT Governance Maturity Level

Penentuan tingkat kematangan (maturity level) bukan hanya menggambarkan pengukuran sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik. Lebih jauh lagi, tingkat kedewasaan tersebut seharusnya dapat digunakan untuk peningkatan kesadaran akan kepentingan peningkatan pengelolaan proses TI sekaligus pengidentifikasikan prioritas dalam peningkatan yang dilakukan. Tingkat kematangan yang dimaksud merupakan representasi kematangan/ kedewasaan Proses TI yang berlangsung di perusahaan (dalam bentuk nilai/ angka).

Adapun penentuan tingkat kematangan akan dilakukan pada tiap proses TI dan dilakukan terhadap semua level, mulai dari level 0 (nol) atau non- existence, hingga level 5 (lima) atau optimised, melalui wawancara langsung perihal pelaksanaan Proses TI dengan divisi ICT di PT ANTAM (Persero) Tbk. Di dalam subbab ini penulis menjelaskan setiap proses dan level menurut CobIT 4.1, dibandingkan dengan yang ada di perusahaan untuk kemudian diambil kesimpulannya.

Berikut hasil perhitungan maturity level berdasarkan proses CobIT 4.1 pada PT ANTAM (Persero) Tbk:

Tabel 13 : IT Governance Maturity Level pada PT ANTAM (Persero) Tbk

Domain Process Maturity Level

(0-5)

Description

PO1 Define IT Strategic Plan 5 Optimised. Sudah terdapat kesadaran akan perlunya IT strategic plan dan sudah terdapat IT strategic plan yang tertulis.

Terdapat arah kebijakan TI yang jelas.

PO2 Define The Information Architecture

3 Defined. Arsitektur informasi telah diusahakan secara konsisten pada semua level di perusahaan. Pengembangan yang berkelanjutan untuk arsitektur informasi diperbaharui secara terus menerus dan nilainya selalu ditingkatkan untuk kepentingan bisnis.

PO3 Determine the technological direction

4 Manageable and Measured. Pihak manajemen menyadari pentingnya rencana infrasturuktur teknologi. Proses pengembangan dari perencanaan infrastruktur teknologi cukup baik dan selaras dengan rencana strategi TI.

PO4 Define the IT processes, Organisation and Relationship

4 Manageable and Measured. Sudah terdapat organisasi bagian TI. Peran dan tanggung jawab bagian SIM dalam perusahan dan pihak ketiga telah ditetapkan. Job description dibuat masing-masing bidang hingga ke bagian SIM di dalam perusahaan dan telah dikembangkan, didokumentasikan, dikomunikasikan, dan diarahkan sesuai strategi TI yang ada.

investasi TI perlu mendapatkan persetujuan dari dewan direksi di dalam mengontrol biaya serta pertimbangan manfaat melalui analisis keuntungan jangka panjang telah dilakukan sehubungan dengan IT investment and budgeting. Proses seleksi investasi yang dilakukan sudah mencakup bisnis utama dan berbagai isu teknologi.

PO6 Communicate management aim and direction

4 Manageable and Measured. Fungsi TI sudah diterapkan secara praktis di bagian-bagian dalam perusahaan dengan baik, termasuk dalam berkomunikasi tentang tujuan dan arah manajemen.

PO7 Manage IT human resources 5 Optimised. Perencanaan proses sumber daya manusia (SDM) sudah ditentukan dan terdokumentasi. Terdapat pendekatan strategis untuk merekrut dan mengelola IT personnel. Sudah ditetapkan rencana training resmi untuk SDM TI.

PO8 Manage Quality 4 Manageable and Measured. Sudah terdapat perencanaan quality management service (QMS) di dalam organisasi TI. Manajemen dan staff TI sudah menyadari pentingnya akan kebutuhan QMS. Proses QMS ditujukan untuk seluruh proses

internal perusahaan

PO9 Asses and manage IT risks 3 Defined. Sudah terdapat framework, prosedur dan standar tertulis mengenai IT risks dan selalu dipantau secara rutin.

PO10 Manage projects 4 Manageable and Measured. Manajemen

sudah menyadari perlunya untuk menentukan manajemen proyek. Penentuan IT projects sudah melibatkan senior manajemen, stakeholders, customer dan user.

AI1 Identify Automated Solutions 5 Optimised. Continous Improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi TI telah ditetapkan untuk semua proyek, baik yang berskala besar maupun berskala kecil. Setiap divisi di dalam perusahaan dapat memberikan usulan mengenai kebutuhan TI.

AI2 Acquire and Maintain application software

4 Manageable and Measured. Manajemen sudah menyadari pentingnya memelihara application software dan sudah melaksanakannya dengan baik.

AI3 Acquire and Maintain technology infrastructure

4 Manageable and Measured. Perusahaan sudah menyadari pentingnya kebutuhan untuk mengatur infrastruktur teknologi.

Sudah terdapat sebagian proses yang jelas terdefinisi dan dipahami dalam pengendalian/pengelolaan infrastruktur.

AI4 Enable operation and use 4 Manageable and Measured. Sudah terdapat framework untuk memelihara prosedur dan penggunaan material yang didukung oleh manajemen TI. Sudah terdapat program training untuk bisnis maupun user. Pengembangan proses terintegrasi dengan proses bisnis dan telah terdefinisi sesuai dengan permintaan perusahaan.

AI5 Procure IT Resources 3 Defined. Perusahaan sudah menyadari pentingnya kebutuhan standar, kebijakan, dan prosedur pengadaan IT resource. Kontrak dan perjanjian kerjasama untuk acquisition IT resources sudah diatur, dikembangkan, dan dikomunikasikan.

AI6 Manage changes 4 Manageable and Measured. Perubahan meliputi penambahan dan perawatan darurat, yang menghubungkan infrastruktur dan aplikasi dalam lingkungan produksi telah diatur secara jelas sesuai dengan aturan yang telah dikendalikan.

AI7 Install and accredit solution and changes

4 Manageable and Measured. Manajemen sudah menyadari pentingnya kebutuhan untuk menguji solusi. Sudah ada prosedur standar yang telah ditentukan, diatur dan dikembangkan untuk IT installation and accreditation process.

DS1 Define and Manage service level

4 Manageable and Measured. Sudah terdapat Service Level Agreement (SLA) dan terus mengadakan perbaikan terhadap aplikasi helpdesk.

DS2 Manage third party services 4 Manageable and Measured. Prosedur sudah terdokumentasi dengan baik untuk mengelola third party services dengan proses-proses yang jelas.

DS3 Manage performance and capacity

3 Defined. Manajemen sudah mengatur perencanaan untuk performance dan kapasitas menurut analisa dari KPI dan KGI, sudah ada prosedur dan standar tertulisnya.

DS4 Ensure continous service 4 Manageable and Measured. Manajemen sudah memahami pentingnya kebutuhan kelancaran servis yang berkelanjutan. Struktur data tentang servis berkelanjutan telah dikumpulkan, dianalisa, dilaporkan dan dilakukan suatu tindakan.

DS5 Ensure System Security 3 Defined. Sudah terdapat standar dan prosedur mengenai keamanan sistem serta terdapat ketentuan tertulis mengenai penanggung jawab & model keamanan.

DS6 Identify and allocate cost 4 Manageable and Measured. Sudah terdapat ketentuan dan dokumentasi tentang informasi biaya, alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan pelaksanaannya sesuai dengan yang telah direncanakan.

DS7 Educate and train user 5 Optimised. Program pendidikan training telah direncanakan dan dikomunikasikan, kebutuhan pelatihan baik bagi karyawan maupun Direksi ditetapkan sesuai dengan kebutuhan operasional bisnis. Pelatihan dan proses pendidikan selalu didokumentasikan. Anggaran, sumber daya, fasilitas dan trainer telah ditentukan untuk mendukung program pelatihan dan pendidikan..

DS8 Manage service desk and incidents

5 Optimised. Service desk function dan incident management process telah diatur dan diorganisir dengan baik, berorientasi pada customer service. Adanya pemahaman yang cukup terhadap fungsi

Help Desk, dimana di dalamnya mencakup isu mengenai masalah apa saja yang dialami oleh user dan pemecahannya, oleh siapa dan telah berhasil atau belum agar dapat diketahui dan ditindak lanjuti, kemudian dilakukan reporting.

DS9 Manage the configuration 4 Manageable and Measured. Manajemen sadar akan perlunya pengendalian konfigurasi TI dan sudah meninjau data konfigurasi TI secara berkala.

DS10 Manage problems 4 Manageable and Measured..

Pengetahuan umum mengenai proses pemecahan masalah sudah ada dan sudah diaktualisasikan dalam bentuk standar dan prosedur.

DS11 Manage data 3 Defined. Manajemen memiliki

pengetahuan umum mengenai standarisasi data input maupun output. Sudah terdapat standar dan prosedur tertulis mengenai hal tersebut.

DS12 Manage the physical environment

4 Manageable and Measured. Manajemen telah sadar dan melakukan pengelolaan fasilitas TI dengan beberapa prosedur formal mengenai keamanan dan akses.

DS13 Manage operations 5 Optimised. Manajemen telah memiliki pengetahuan umum atas manajemen operasi komputer dan sudah terdapat standar yang memadai.

ME1 Monitor and evaluate IT performance

5 Optimised. Proses peningkatan kualitas secara terus menerus dilakukan dan dikembangkan di perusahaan untuk memperbaharui standard an kebijakan pengawasan perusahaan, serta penggabungan praktek-praktek industri.

ME2 Monitor and evaluate internal control

3 Defined. Manajemen memiliki kesadaran atas pengawasan pengendalian internal. Manajemen melakukan rapat koordinasi secara rutrin setiap antar operasional dan juga menggunakan laporan pengendalian untuk melakukan koreksi.

ME3 Ensure compliance with external requirements

3 Defined. Manajemen memiliki pengetahuan atas peraturan persyaratan external. Sudah terdapat standar dan prosedur mengenai hal tersebut

ME4 Provide IT Governance 5 Optimised. Manajemen menyadari pentingnya pengelolaan IT, sudah terdapat standar dan prosedur.

4.9 Opini Audit

Tabel 14 : Jenis-jenis opini audit

Opini Description

Unqualified

Seluruh proses telah di dokumentasikan dan telah dikomunikasikan dan dilaksanakan berdasarkan suatu metode tertentu.

Qualified

Sudah menemukan pola pengembangan yang terarah, berjalan dengan pola yang sama.

Adverse Ada kegiatan penyusunan sistem yang terarah.

Disclaimer Tahap awal, komputerisasi dilakukan secara alamiah, tidak ada metodologi.

Berikut opini audit berdasarkan proses CobIT pada PT ANTAM (Persero) Tbk:

Tabel 15 : Opini audit proses CobIT PT ANTAM (Persero) Tbk

Domain Process Opini Temuan

PO1 Define IT Strategic Plan Unqualified Sudah terdapat strategi jangka panjang maupun pendek PO2 Define The Information

Architecture

Qualified Sudah terdapat arsitektur informasi, namun belum berdasarkan intuisi.

PO3 Define The Technological Direction

Qualified Sudah terdapat pengembangan perencanaan infrasturktur teknologi

PO4 Define the IT Organisation and Relationship

Qualified Sudah terdapat struktur organisasi bagian TI

Technolgy Investment

PO6 Communicate Management Aim and Direction

Qualified Sudah melakukan komunikasi kepada staf mengenai arah kebijakan TI perusahaan.

PO7 Manage Human Resources Unqualified Sudah ada dan sudah dilaksanakan dengan baik

PO8 Manage Quality Qualified Sudah terdapat perencanaan Quality Management Service (QMS)

PO9 Assess Risk Qualified Sudah dilakukan, sudah terdapat framework, standard an prosedur tertulis.

PO10 Manage Projects Qualified Sudah memiliki metodologi pengembangan aplikasi

AI1 Identify Aotomated Solutions Unqualified Continous Improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi TI telah ditetapkan untuk semua proyek

AI2 Acquire and Maintain Application Software

Qualified Sudah menerapkan application control business dengan baik dan secara akurat.

AI3 Acquire and Maintain Technology Infrastructure

Qualified Sudah terdapat sebagian proses yang jelas terdefinisi dan dipahami dalam pengendalian/pengelolaan infrastruktur.

Procedure memelihara prosedur dan penggunaan material yang didukung oleh manajemen TI. AI5 Procure IT Resources Qualified Sudah terdapat kebutuhan standar,

kebijakan, dan prosedur pengadaan IT resource.

AI6 Manage Changes Qualified Sudah dilakukan dan diatur secara jelas

AI7 Install and accredit solution and changes

Qualified Sudah terdapat prosedur dan kebijakan untuk IT installation and accreditation process

DS1 Define and Manage Service Level

Qualified Sudah terdapat Service Level Agreement (SLA)

DS2 Manage Third Part Services Qualified Sudah terdapat prosedur untuk mengelola third party services. DS3 Manage Performance and

Capacity

Qualified Sudah diatur menurut analisa dari KPI dan KGI, sudah ada prosedur tertulis.

DS4 Ensure Continous Service Qualified Struktur data tentang servis berkelanjutan telah dikumpulkan, dianalisa, dilaporkan dan dilakukan suatu tindakan.

DS5 Ensure System Security Qualified Sudah dilakukan dan sudah ada prosedur dan standar tertulis. DS6 Identify and Allocate Cost Qualified Sudah dilakukan dan terdapat

ketentuannya

DS8 Assist and Advice Customer Unqualified Service desk function dan incident management process telah diatur dan diorganisir dengan baik, berorientasi pada customer service. DS9 Manage and Configuration Qualified Sudah meninjau data konfigurasi

TI secara berkala.

DS10 Manage Problem and Incidents Qualified Sudah ada dan sudah diaktualisasikan dalam bentuk standar dan prosedur.

DS11 Manage data Qualified Sudah dilakukan, sudah terdapat standard an prosedur

DS12 Manage Facilities Qualified Sudah dilakukan DS13 Manage Operations Unqualified Sudah dilakukan ME1 Monitor the Process Unqualified Sudah dilakukan ME2 Monitor and evaluate internal

control

Qualified Sudah dilakukan, perlu standar yang lebih jelas

ME3 Ensure compliance with external requirements

Qualified Sudah dilakukan, sudah terdapat standar dan prosedur

ME4 Provide IT Governance Unqualified Sudah terdapat standar dann prosedur

Ringkasan dari keseluruhan opini audit di atas adalah sebagai berikut : Opinion Total Unqualified 9 Qualified 25 Disclaimer 0 Adverse 0

Sehingga penulis dapat menyimpulkan dari perbandingan perolehan opini tersebut, bahwa opini umum untuk PT ANTAM (Persero) Tbk adalah Qualified, yaitu sudah menemukan pola pengembangan yang terarah dan berjalan dengan pola yang sama.

1.10 Simpulan Maturity Level

Berdasarkan hasil analisis CobIT penerapan proses CobIT pada perusahaan berada pada level rata-rata 3,9.

Pada level kematangan ini, secara keseluruhan proses TI di PT ANTAM (Persero) Tbk berada pada skala rata-rata 3, yaitu Defined, yang berarti bahwa seluruh proses telah didokumentasikan dan telah dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik, namun proses evaluasi belum dilakukan secara menyeluruh, ssehingga masih ada kemungkinan dapat terjadinya penyimpangan.

Untuk setiap domain dari CobIT framework 4.1, level kematangan dalam pengelolaan TI dapat dilihat pada tabel sebagai berikut:

Tabel 16 : Level Tata Kelola TI di PT ANTAM (Persero) Tbk

Domains Level

PO (Plan and Organise) 3,6

AI (Acquire and Implement) 4

DS (Deliver and Support) 4

ME (Monitor and Evaluate) 4,

Rata-rata 3,9

4.11 Pengendalian Aplikasi

4.11.1. Pengendalian Batasan (Boundary Controls)

Kendali batasan meyakinakan bahwa Sistem Aplikasi dilengkapi dengan login akses berupa password dan username serta terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi.

Adapun temuan audit yang dihasilkan dari Pengendalian Batasan (Boundary Controls) adalah:

a. Sistem Aplikasi dilengkapi dengan login akses berupa password dan username

b. Password pada sistem aplikasi tidak terlihat (invisible)

c. Login akses seperti username dan password diencryption

d. Sistem aplikasi menampilkan pesan jika verivikasi login tidak valid

e. Sistem aplikasi hanya dapat diakses oleh orang-orang yang terotorisasi

f. Telah terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi

g. Sistem aplikasi dilengkapi dengan pembatasan sistem umur password dan menampilkan pesan jika password tersebut sudah berakhir (expired)

h. Belum terdapat pembatasan sistem dalam penginputan login akses (username dan password) dan beberapa kali batas salah penginputan login, namun aplikasi tidak memberikan respon dengan menutup secara otomatis sistem aplikasi tersebut (otomatis keluar dari sistem aplikasi tersebut).

i. Sistem aplikasi jelas ruang lingkupnya sesuai dengan prosedur

Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian batasan (Boundary controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya.

Berikut resiko dan rekomendasi atas pengendalian batasan (Boundary Controls)

Tabel 17 : Tabel resiko dan rekomendasi Boundary Controls

Resiko Rekomendasi

Dengan tidak adanya batasan sistem kesalahan dalam penginputan login akses (password dan username), hal ini akan memberikan kemudahan bagi orang-orang yang tidak memiliki otoritas untuk mengakses ke sistem aplikasi.

Sebaiknya Sistem Aplikasi memberikan batasan sistem dalam penginputan login akses (password dan username). Kesalahan penginputan sebaiknya dibatasi sebanyak 3 kali, jika melewati batas tersebut maka sistem secara otomatis akan keluar dari aplikasi.

4.11.2. Pengendalian Masukan (Input Controls)

Kendali input myakinkan bahwa transaksi di-input ke dalam dan diterima oleh komputer, diproses hanya sekali, tanpa duplikat dan kesalahan.

Adapun temuan audit yang dihasilkan dari Pengendalian Masukan (Input Controls) adalah:

a. Tidak terdapat pemisahan antara pihak yang melakukan input data dengan yang mengeluarkan output laporan

b. Aplikasi menampilkan error message, jika terjadi kesalahan penginputan

c. Sistem aplikasi dilengkapi dengan fasilitas penanganan kesalahan (menu help)

d. Entri data selalu dilakukan oleh karyawan yang tetap dan berwenang serta ditunjuk oleh pimpinan

e. Delete dan update hanya dapat dilakukan oleh user tertentu yang diberi otoritas

f. Penggunaan bahasa dan tampilan layar untuk input data sudah baik, jelas, dan mudah dimengerti serta tampilan warna layar di design agar mata tidak cepat lelah dan dapat mengurangi kesalahan penginputan

g. Kesalahan yang terlanjur di input dapat langsung di delete yang dilakukan oleh administrator dengan langsung eksekusi melalui database, dengan seizin pihak berwenang

h. Sistem aplikasi memiliki menu konfirmasi terhadap data sebelum data disimpan

i. Tidak terdapat fungsi peringatan dari Sistem Aplikasi jika belum di backup

j. Data yang dimasukkan ke dalam program aplikasi selalu berdasarkan dokumen sumber

k. Petugas entri tidak membubuhkan tanda check (√) setelah dokumen sumber di input

l. Terdapat tombol save, delete, dan cancel pada bagian bawah tampilan layar

m. Dilakukan penyimpanan atau pengarsipan terhadap dokumen sumber yang telah digunakan berdasarkan periode dan jenis dokumen

n. Terdapat petugas yang melakukan pengawasan terhadap keakuratan input data dengan data pada dokumen sumber

o. Metode penginputan data ke dalam database menggunakan real-time processing

p. Waktu respon di setiap penginputan data ke dalam Sistem Aplikasi cepat, karena menggunakan memori yang berkapasitas besar

q. Terdapat prosedur persetujuan penginputan data ke dalam Sistem Aplikasi

r. Setiap ada perubahan data manual tidak langsung dilakukan penyesuaian dengan data komputer karena harus ada persetujuan dari pihak yang berwenang

s. Tidak ada fasilitas menu dalam Sistem Aplikasi yang tidak efektif dalam penggunaanya

t. Tidak terdapat perubahan warna pada interface jika terjadi kesalahan penginputan data, Sistem Aplikasi hanya menampilkan error message

u. Fasilitas menu dalam Sistem Aplikasi sudah memenuhi kebutuhan user

Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian masukan (Input Controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya.

Berikut resiko dan rekomendasi atas pengendalian masukan (Input Controls)

Tabel 18 : Tabel resiko dan rekomendasi Input Controls

Resiko Rekomendasi

Akibat tidak adanya perubahan warna pada tampilan layar, jika terjadi kesalahan penginputan data maka user tidak mengetahui adanya kesalahan pada saat penginputan, sehingga mengurangi keefektifan kerja user

Sistem Aplikasi sebaiknya dilengkapi dengan fasilitas perubahan warna pada tampilan layar jika terjadi kesalahan penginputan, tidak hanya menampilkan error message saja agar lebih efektif lagi.

Petugas entri data tidak selalu membubuhkan tanda check (√) setelah dokumen sumber selesai di input,

Sebaiknya petugas entri data mulai membiasakan memberikan tanda check (√) setelah dokumen sumber selesai di

sehingga terdapat kemungkinan terjadinya penginputan yang berulang kali

input agar dapat menghindari penginputan yang berulang kali

4.11.3. Pengendalian Proses (Process Controls)

Kendali pemrosesan meyakinkan bahwa transaksi: diterima oleh komputer, diproses dengan logika yang valid, melalui seluruh fase pemrosesan, dan di update ke file dan data yang benar.

Adapun temuan audit yang dihasilkan dari Pengendalian Proses (Process Controls) adalah:

a. Data tidak dapat ditambahkan, dihapus, dicopy, dihilangkan, atau diubah dengan cara yang illegal

b. Sistem aplikasi tidak dapat mencegah atau mendeteksi data masukan yang tidak valid

c. Data tidak dapat diproses dengan tidak benar, karena data yang di-input berasal dari dokumen sumber yang terotorisasi

d. Sistem aplikasi menggunakan rollback untuk mencegah atau mendeteksi kehilangan data selama pemrosesan

e. Sistem Aplikasi mampu mengecek keseluruhan pemrosesan yang terjadi, apakah data telah benar dan lengkap. Pengecekan dilakukan dengan menggunakan laporan pendukung dan sistem aplikasi.

f. Kesalahan dalam pemrosesan tidak selalu dengan segera diperbaiki dengan cepat

g. Setiap proses yang dilakukan telah terekam di dalam Sistem Aplikasi

Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian proses (Process Controls) sistem aplikasi adalah baik. Artinya, tingkat resiko maupun kemungkinan dampak akibatnya masih lebih kecil dari desain pengendalian maupun efektifitas pelaksanaannya.

Berikut resiko dan rekomendasi atas pengendalian proses (Process Controls)

Tabel 19 : Tabel resiko dan rekomendasi Process Controls

Resiko Rekomendasi

Ketidakefektifan Sistem aplikasi yang tidak dapat mencegah atau mendeteksi data masukan yang tidak valid.

Sebaiknya Sistem Aplikasi dibuat dapat mencegah atau mendeteksi data masukan yang tidak valid dengan management user agar lebih efektif dalam pelaksanaanya.

Kesalahan dalam pemrosesan tidak selalu dengan segera diperbaiki dengan cepat.

Sebaiknya apabila terdapat kesalahan dalam pemrosesan dapat dengan segera diperbaiki dengan cepat agar lebih efektif dan efisien dalam pelaksanaanya.

4.11.4. Pengendalian Keluaran (Output Controls)

Kendali output meyakinkan bahwa data output: dilaporkan dengan cara yang benar, dapat dilihat/tersedia hanya untuk personil yang memiliki otoritas serta ditahan atau dihancurkan secara wajar/memadai.

Adapun temuan audit yang dihasilkan dari Pengendalian Keluaran (Output Controls) adalah:

a. Sistem Aplikasi mampu menghasilkan laporan yang dibutuhkan

b. Sistem pengawasan catatan untuk setiap laporan yang terjadi dilakukan dengan pengecekan ulang laporan

c. Terdapat prosedur permintan laporan rutin atau permintaan laporan baru pada Sistem Aplikasi

d. Pengecekan ulang laporan dilakukan dengan melakukan pemeriksaan secara manual

e. Laporan yang dihasilkan oleh Sistem Aplikasi didistribusikan secara tepat waktu dan tepat sasaran

f. Laporan yang dihasilkan oleh Sistem Aplikasi didistribusikan kepada pihak yang berkepentingan

g. Setiap laporan yang dihasilkan tercantum halaman, judul, tanggal, periode, nomor urut dan jam laporan tersebut dicetak

h. Tidak selalu terdapat contact person jika terjadi sesuatu atas laporan yang dihasilkan

i. Tidak terdapat end of page, yang menyatakan bahwa laporan lebih dari satu halaman

j. Laporan disimpan di tempat yang mudah dijangkau, namun tidak terdapat batas waktu penyimpanan karena tergantung kategori datanya dan bukan divisi ICT yang bertanggung jawab akan hal tersebut

k. Terdapat control terhadap proses pengahancuran laporan yang sudah tidak dibutuhkan lagi

Berdasarkan penilaian dan resiko yang ada, dapat disimpulkan bahwa tingkat efektitas pengendalian keluaran (Output Controls) sistem aplikasi adalah kurang, karena tidak selalu terdapat contact person apabila terjadi sesuatu atas laporan yang dihasilkan, tidak terdapat end of page yang menyatakan bahwa laporan lebih dari satu halaman dan tidak terdapat batas waktu penyimpanan terhadap laporan sehingga membuat pelaksanaannya menjadi kurang efektif dan efisien.

Berikut resiko dan rekomendasi atas pengendalian keluaran (Output Controls)

Tabel 20 : Tabel resiko dan rekomendasi Output Controls

Resiko Rekomendasi

Tidak selalu terdapat contact person tertentu apabila terjadi sesuatu atas laporan yang dihasilkan menyebabkan ketidakefektifan dalam pelaksanaanya.

Sebaiknya ditentukan dengan jelas contact person yang dapat dihubungi apabila terjadi sesuatu atas laporan yang dihasilkan agar lebih efektif.

laporan yang lebih dari 1 (satu) halaman, kemungkinan akan menyebabkan kekeliruan atau kebingungan.

halaman diberi end of page.

Tidak terdapat batas waktu penyimpanan laporan sehingga menyebabkan ketidaefisienan dalam pelaksanaannya.

Sebaiknya terdapat batas waktu penyimpanan laporan agar lebih efisien.

4.12 Simpulan Pengendalian Aplikasi

Tabel 21 : Tabel simpulan pengendalian aplikasi

No. Pengendalian Aplikasi Keterangan

1. Pengendalian Batasan (Boundary Controls)

Sudah cukup memadai, karena Sistem Aplikasi dilengkapi dengan login akses berupa password dan username serta terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi.

2. Pengendalian Masukan (Input Controls)

Sudah cukup memadai, karena transaksi di-input ke dalam dan diterima oleh komputer, diproses hanya sekali, tanpa duplikat dan kesalahan.

3. Pengendalian Proses (Process Controls)

Sudah cukup memadai, karena pemrosesan transaksi: diterima oleh komputer, diproses dengan logika yang valid, melalui seluruh fase pemrosesan, dan di update ke file dan data yang benar.

4. Pengendalian Keluaran (Output Controls)

Sudah cukup memadai, namun tidak selalu terdapat contact person apabila terjadi sesuatu atas laporan yang dihasilkan, tidak terdapat end of page yang menyatakan bahwa laporan lebih dari satu halaman dan tidak terdapat batas waktu penyimpanan terhadap laporan sehingga membuat pelaksanaannya menjadi kurang efektif dan efisien.

1.13 Hasil perbandingan dengan penelitian sebelumnya

Apabila dibandingkan dengan penelitian sebelumnya, dalam penelitian saya hasilnya sudah cukup baik karena dalam penelitian saya hasil scoring maturity level adalah 3,9 atau berada pada skala 3 yaitu defined yang berarti seluruh proses telah didokumentasikan dan dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik.

Sedangakan pada penelitian sebelumnya oleh Stefanus Ariyanto (2007) dengan judul “Audit Sistem Informasi Pada PT Pelangi Haurgeulis Resources”. Hasil dari penelitiannya menunjukkan bahwa PT Pelangi Hargeulis Resources masih memiliki banyak kelemahan dalam pengelolaan TI-nya, Kesadaran dan keinginan manajemen untuk memiliki kinerja TI yang baik memang telah ada, namun tenggelam dalam rutinitas yang menjadikan TI hanya sebagai alat bantu dalam menyelesaikan tugas-tugas administrasi rutin saja.

Manajemen juga tidak terlalu menyadari risiko dari aplikasi dan data-data perusahaan yang dikelola apa adanya.

Selain itu, penelitian yang dilakukan oleh Dwi Kesuma Wardhani (2012) dengan judul “Evaluasi IT Governance Berdasarkan CobIT framework 4.1 (Studi Kasus PT Timah (Persero) Tbk).” Hasil dari penelitiannya adalah sebagian besar penerapan proses dari CobIT framework 4.1 di PT Timah (Persero) Tbk berada pada level rata-rata 3,7.

Pada level kematangan ini, secara kesuluruhan proses TI di PT Timah (Persero) Tbk berada pada skala rata-rata 3, yaitu Defined yang berarti bahwa seluruh proses telah didokumentasikan dan telah dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik, namun proses evaluasi belum dilakukan secara menyeluruh, sehingga masih ada kemungkinan dapat terjadinya penyimpangan.

Kemudian penelitian yang dilakukan oleh Lina Wijaya (2012), dengan judul penelitian “Audit Sistem Informasi Pada PT Duta Semesta Raya (DSR Insurance Broker)” dengan hasil penelitian bahwa sistem informasi yang diterapkan perusahaan sudah berjalan dengan baik, tetapi perlu dilakukannya perbaikan-perbaikan guna meningkatkan pertumbuhan di masa yang akan datang. Secara umum, pemisahan tugas dan tanggungjawab setiap karyawan sudah memadai, tetapi sangat diperlukannya koneksi yang kuat, proses pemantauan, dan pengecekan atas pengendalian antar departemen. Internal meeting pun sangat dianjurkan dilakukan setiap dua minggu sekali guna