Bab 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PERKREDITAN PADA PT. BANK KESEJAHTERAAN EKONOMI. Table 4.1 Rencana Kerja Evaluasi

(1)

102

Bab 4

EVALUAS I PENGENDALIAN S IS TEM INFORMAS I PERKREDITAN PAD A PT. BANK KES EJAHTERAAN EKONOMI

4.1 Rencana Kerja Evaluasi

Bab ini menyajikan hasil dari kegiatan evaluasi yang dilakukan dengan metode pengumpulan data check list, kuesioner dan observasi. Pada bab ini berisikan temuan-temuan yang dihasilkan berdasarkan standar COBIT 4.1. Berikut adalah table rencana kerja evaluasi:

Table 4.1 Rencana Kerja Evaluasi

Aktivitas Hasil yang didapatkan Mengajukan propos al untuk melakuk an ev aluasi

kepada pihak Bank Kesejaht eraan Ekonomi.

Disetujui proposal yang diajukan dan berada dibawah naung an Divisi Teknologi Sistem In formasi

Melakukan obs ervasi terh adap Bank Kesejahteraan Ekonomi untuk pengenalan ak an Bank Kesejahteraan Ekonomi

Mendapatkan annual repo rt dari Bank Kesejahteraan Ekonomi yang berisi laporan keuangan, struktur org anisasi, sejarah p erus ahaan beserta visi, misi perusahaan.

Mengumpulkan data tentang j alannya system perkreditan, prosedur-p rosedur t erhad ap pros es perkreditan dan laporan yang dihasilkan.

Mendapatkan data tentang alur pros es perkreditan beserta pros edur-p rosedur d an laporan yang dihasilkan.

Mengetahui arsitektur in fo rmasi yang digunak an pada Bank Kesejahteraan Ekonomi.

Mendapatkan aplikasi, termasuk spesi fikasi

hardware, software, brainware, network, dan database

Menyerahkan ch eck list tahap pertama yang b erisi

control objective.

Mendapatkan ch eck list beserta jawaban

berdas arkan tiap-tiap bagian yang bers angkutan. Menyerahkan check list tahap kedua yang b erisi

maturity level.

Mendapatkan check list dan jawab an dari bagian TSI dan bagian-bagian yang bers angkutan.

Melakukan ev aluasi terhad ap check list yang telah diisi dan melakukan evaluasi terhadap system perkreditan yang digunakan

Menemukan hasil evaluasi dan laporannya.

Menentukan k esimpulan atas h asil evaluasi y ang didapat, dan memberikan rekom endasi usulan kepada Bank Kesej ahteraan Ekonomi.

Mengetahui h asil evalu asi dan rekom endasi usulan yang bersangkutan pad a temuan-temuan yang ad a.

(2)

103

4.2 Kriteria Evaluasi Pengendalian Sistem Informasi 4.2.1 Kriteria Pengukuran Pada Customer Perspective

Kiteria atau indiktor pengukuran berdasarkan Customer Perspective adalah sebagai berikut:

(3)

104

4.3 Pelaksanaan Evaluasi Pengendalian Sistem Informasi Perkreditan 4.3.1 Analisa Temuan dan Rekomendasi

Tabel 4.2 Analisa Temuan dan Rekomendasi

Domain dan Proses Kriteria Temuan Reko mendasi Metode

Plan and Organise ITGI-CobIT _4.1

PO1 Define a Strategic

IT Plan PO1.1 PO1.2 PO1.3 PO1.4 PO1.5 PO1.6

Perusahaan telah memiliki program untuk

mengidentifik asi kekurangan at au kesalahan dal am penginputan data. Sehingga antara proses bisnis dan IT terintegrasi. Perusahaan melakuk an evaluasi kinerja terhad ap sistem tapi hal ini belum ada peraturan tertulis yang mengatur periode untuk melakukan evaluasi. Perencanaan strategis IT dibuat berdas arkan dokumentasi ren cana IT, sehingga sistem dapat mencap ai tujuan bisnis perusahaan.

Perencanaan IT yang ada pada perusahaan cukup baik, hal ini terlihat pada dokumentasi yang dilakukan setiap melakukan pengembang an. Akan tetapi dalam melakukan evaluasi kinerja sistem, tidak terdapat peratu ran tertulis yang mengatur hal tersebut. Sehingga evaluasi tidak dilakukan secara periodik. Oleh karena itu perusahaan terut ama divisi TSI (Teknologi Sistem Informasi) membuat

peraturan secara tertulis untuk melakukan evaluasi terhadap kinerj a sistem.

Observasi Kuesioner

PO2 Define the

Information Architecture PO2.1 PO2.2 PO2.3 PO2.4

Perusahaan telah memiliki gambaran model proses bisnis yang digunakan untuk melakukan

pengembang an sistem informasi. Akan tetapi perusah aan tidak menggunakan kamus data sebag ai dasar aturan dalam pertukaran elemen data. Perusahaan memiliki skema atas pembagian data berdasrk an sensitifitas dan tingkat kepentingan data. Adanya prosedu r yang dikelola guna menjamin integritas dan konsistensi data.

Perusahaan memiliki arsitekture informasi yang jelas, akan tetapi perusahaan tidak mengenal ad anya kamus data melainkan problem lock. Sehingga tidak adanya aturan dalam pertukaran elemen dat a. Oleh karen a itu perusahaan harus menet apkan kamus data yang digunakan sebagai aturan untuk pertukaran elemen data.

Kuesioner

PO3 Determine the

Technological Direction PO3.1 PO3.2 PO3.3 PO3.4

Perusahaan telah melakukan proses analisa, pemilihan dan penggunaan teknologi guna mendukung proses bisnis perusahaan dan ada kebijak an intern yang mengatur penggunaan teknologi. Ada perencan aan

Proses yang dilakukan perusahaan untuk

penggunaan teknologi dan pengawasan telah ada, serta ada kebijak an intern yang dilakukan

perusah aan. Oleh karen a itu kebijakan intern harus

(4)

105 PO3.5 infrastruktur, pengawasan perk embangan teknologi

dan bisnis secara berkal a.

didukung oleh kebijakan ekstern dalam melakukan pengembang an sistem.

PO4 Define the IT

Processes, Organisation and Relationships PO4.1 PO4.2 PO4.3 PO4.4 PO4.5 PO4.6 PO4.7 PO4.8 PO4.9 PO4.10 PO4.11 PO4.12 PO4.13 PO4.14 PO4.15

Adanya krangk a kerja IT, Komite strategis IT, dan komite pelaksana IT. Penerapan fungsi IT pada bagian perkreditan. Ada struktur Organisasi IT yang

mengatur tentang wewenang dan tanggung jawab anggota IT. Adanya pengawasan terh adap fungsi IT maupun sumberdaya IT untuk mengurangi resiko yang mungkin terjadi. Perusahaan menjalin kerjasam a dengan pihak outsource dalam melakukan

pengembang an sistem.

Adanya pemisahaan yang tertulis dalam pengaturan wewen ang dan tanggung jawab anggota yang tertuang dalam struktur organisasi IT. Perusahaan menjalin kerjasama dengan pihak outsorce dalam melakukan pengembang an sistem. Hal tersebut harus ditingkatkan dengan menetapkan standard an kebijakan dalam menjalin kerjasama deng an pihak

outsource. Observasi

PO5 Manage the IT

Invesment PO5.1 PO5.2 PO5.3 PO5.4 PO5.5

Perusahaan tidak melakukan evaluasi terhad ap biaya yang digunakan oleh IT.

Dilakukan evaluasi secara berkala untuk mengetahui efisien dan efekti fitas dalam

penggunaan biaya dal am IT. Observasi Kuesioner PO6 Communicate

Management Aims and Directions PO6.1 PO6.2 PO6.3 PO6.4 PO6.5

Adanya kebijakan intern dan peng endalian IT. Ada kerangk a kerja sebag ai pendekat an terhad ap masalah, resiko dan pengendalian IT. Adanya pemahan terhadap tujuan penggunaan IT oleh pengguna maupun manajemen atas.

Selain kebijakan intern untuk mengatur penggunaan IT, baiknya diterapkan juga kebijakan ekstern untuk meningkatkan kinerja sistem. Serta melakukan evaluasi terhad ap kebijakan sesuai dengan perkembang an IT. Observasi Kuesioner PO7 Manage IT Human Resources PO7.1 PO7.2 PO7.3 PO7.4 PO7.5 PO7.6 PO7.7 PO7.8

Perusahaan melakukan test untuk setiap staff baru tapi tidak adanya batasan minimum dalam penerimaan karyawan. Melakukan evaluasi terh adap kinerja staff secara berk ala. Adanya kegiatan training untuk para staff. Adany a pertukaran in formasi antara staff.

Tetapkan aturan secara jelas dalam penerimaan karyawan. Bedakan staf yang melakukan evalu asi terhadap kinerj a staf lainnya untuk mendapatkan

hasil yang akurat. Observasi

(5)

106

Acquire and Implement

ITGI-CobIT 4.1

AI1 Identify Automated

Solutions

AI1.1 AI1.2 AI1.3 AI1.4

Perusahaan telah menganalisis resiko yang terkait dengan proses bisnis serta telah membuat rancangan solusi sebagai penyelesaian. Perusahaan tidak membagi wewenang secara detail kepada setiap anggota, sehingga jika terjadi kesalahan penyelesai annya cukup lama.

Menjelaskan secara detail dan menetapkan peraturan yang jelas dalam wewen ang setiap staf.

Observasi Kuesioner

AI2 Acquire and

Maintain Application Software AI2.1 AI2.2 AI2.3 AI2.4 AI2.5 AI2.6 AI2.7 AI2.8 AI2.9 AI2.10

Belum adanya software khusus untuk

mengidentifik asi permasalah yang mungkin timbul.

Membangun sistem untuk mengidentifikasi kemungkinan permasalah an yang timbul.

Observasi Kuesioner

AI4 Enable Operation

and Use

AI4.1 AI4.2 AI4.3 AI4.4

Ada pelatihan terhad ap para penggun a sistem, serta ada modul untuk membantu user dalam menggunakan sistem. Tidak dilakukannya evaluasi terhadap

pengetahu an pengguna terhad ap IT.

Lakukan evalu asi secara berkal a terhad ap para pengguna sebag ai dasar dari hasil kegiatan training.

Observasi AI5 Procure IT Resources AI5.1 AI5.2 AI5.3 AI5.4

Adanya prosedu r pengendalian tentang

pengembang an sistem. Ada kebijakan mengenai kesepak atan kontrak dengan konsultan. Dilakukan pemilihan supplier yang sesuai dengan kebutuhan. Adanya perlindungan terh adap kontrak yang telah disepakati.

Lakukan evalu asi dari setiap pengendalian dan kebijakan yang mengatur dengan pihak luar.

Observasi Kuesioner

AI6 Manage Changes AI6.1 AI6.2 AI6.3 AI6.4 AI6.5

Terdapat prosedur yang disusun untuk menangani perubah an aplikasi dan ada penilaian secara

terstruktur terhad ap setiap perubah an. Adanya proses untuk menentukan, menguji, mendokumentasikan, menilai dan menyetujui perubahan yang mengacu pada solusi dari langkah vendor. Adanya laporan tentan diterima atau ditolaknya perubahan sistem.

Setiap dilakukan perubahan terh adap sistem, baiknya dilakukan evaluasi terhad ap perubah an tersebut secara berk elanjutan.

(6)

107

Deliver and Support ITGI-CobIT

4.1 DS2 Manage Third-Party Services DS2.1 DS2.2 DS2.3 DS2.4

Tidak adanya antisipasi dini jika terjadi kesalahan input data perkreditan, sehingga data tersebut

langsung masuk ke dalam database. Tidak adanya rate yang membatasi pengisian NPWP pada aplikasi rating koperasi.

Pada sistem diberikan peringatan setiap melakukan input data maupun perbaikan data. Memberikan rate pada bagian NPWP sesuai dengan peraturan yang ada. Observasi Kuesioner DS3 Manage Performance and Capacity DS3.1 DS3.2 DS3.3 DS3.4 DS3.5

Tidak adanya rencan a kinerja dan kapasitas sistem pada perusah aan. Belum memadainya sistem yang ada karen a kebijakan investasi.

Tentukan rencana kinerj a dan kapasitas sistem sebelum ditemukannya Bugs pada sistem. Bicarak an kebijakan kepad a pihak direksi dan direktur. Observasi Kuesioner DS5 Ensure Systems Security DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11

Pengamanan yang dilakukan perus ahaan untuk melindungi sistem dari gangguan pihak ekstern perusah aan cukup baik yaitu penggunaan antivirus

Symantex dan PC-Mav, serta ada sistem login yang

telah ditentukan oleh admin pada sistem rating dan pembatasan orang yang menggun akan bank Checking.

Untuk penggunaan antivirus yang ada, baiknya mengikuti perkembangan antivirus, setidaknya dilakukan update setiap saat dan menggunakan firewall yang yang telah baik bukan hanya standar dari aplikasi OS.

Observasi Kuesioner DS6 Identify and Allocate Costs DS6.1 DS6.2 DS6.3 DS6.4

Perusahaan tidak melakukan peninjauan kelayak an terhadap biay a pada IT secara berkala.

Lakukan peninjauan secara berk ala, bila perlu lakukan pengecekkan setiap dilakukanny a pembelian IT baru. Observasi Kuesioner DS10 Manage Problems DS10.1 DS10.2 DS10.3 DS10.4

Tidak adanya fasilitas pelacakan masalah maupun pendekat an masalah, sehingga tidak adanya integrasi dengan proses penyel esaian masalah.

Bangun program khusus untuk melacak masalah yang mungkin timbul pada aplikasi sistem, sehingga kegiatan bisnis perusahaan tidak terganggu dan tidak merugikan perusahaan.

Observasi Kuesioner

(7)

108

Monitor and Evaluate ITGI-CobIT

4.1 ME1 Monitor and

Evaluate IT Performance ME1.1 ME1.2 ME1.3 ME1.4 ME1.5 ME1.6

Adanya pengawasan, pengukuran dan tinjauan kualitas untuk melakukan tindakan perbaikan.

Lakukan evalu asi terhadap tinjauan kualitas untuk melakukan tindakan perb aikan.

Observasi ME4 Provide IT Governance ME4.1 ME4.2 ME4.3 ME4.4 ME4.5 ME4.6 ME4.7

Perusahaan telah menyusun kerangka IT. Para manajemen mengerti tentang permasalah an IT. Sumberdaya IT mendukung peningkatan penggunaan IT. Perusahaan melakukan evaluasi secara berkal a.

Hal tersebut cukup baik,tapi masih kurang jika tidak dilakukan pengembangan sistem mengikuti

perkembang an teknologi saat ini.

(8)

109

4.3.2 Analisa Maturity Level

Tabel 4.3 Level 0 PO1 Level 0 PO1

How much do you agree? No. Statements

Not at all A little Quite a lot Completely

Statements compliance values

1 Perencanaan strategis IT belum dilaksanakan. x 0

2 Tidak ada kesadaran manajemen bahwa perencanaan strategis TI

dibutuhkan untuk mendukung tujuan bisnis. x 0

Total 0.00

Statements compliance values 1 Kebutuhan akan perencanaan strategis TI telah disadari oleh

manajemen TI x 1

2 Perencanaan TI dilakukan sebagai dasar kebutuhan untuk merespon

kebutuhan spesifik bisnis. x 1

3 Perencanaan strategis TI secara berkal a dibahas dalam rapat

manajemen TI. x 1

4 Kesesuai an antara kebutuhan bisnis, aplikasi dan teknologi lebih

dominan dibandingkan strategi organisasi. x 0.66

5 Posisi resiko strategis diidentifikasi dalam dalam dasar proyek

perusah aan. x 0.33

(9)

110

Tabel 4.5 Level 2 PO1

Level 2 PO1

Statements compliance values 1 Perencanaan strategis TI digunakan bersama dalam manajemen bisnis

sebagai sebuah kebutuhan das ar. x 1

2 Perbaharuan dari rencana TI terjadi sebagai respon dari permintaan

manajemen. x 0.66

3 Keputusan strategis dilaksanakan dalam dasar proyek-proyek tanpa

konsistensi strategi perusahaan keseluruh an. x 0.66

4 Resiko dan keuntungan pengguna dari keputusan strategis diakui

secara intuitif. x 0.66

Total 2.98

Statements compliance values 1 Ada sebuah kebijakan untuk menentukan kapan dan bag aimana

melakukan perencan aan strategis TI. _x ₁

2 Perencanaan strategis TI mengikuti pendekatan terstruktur yang

didokumentasikan dan diketahui oleh semua staf. x 0.66

3 Proses perencanaan TI menandakan dan memastikan bahwa

peren can aan yang sesuai akan dilakukan. x 0.66

4 Kewen angan diberikan kep ada manaj er masing-masing sehubungan dengan pelaksan aan proses, dan tidak ada prosedur untuk memeriksa

(10)

111 How much do you agree?

No. Statements

Statements compliance values 5 Keseluruh an strategi TI mencakup sebuah definisi konsisten

mengenai resiko dimana organisasi dapat memilih untuk menjadi

inovator atau follower. _x _0.33

6 Perencanaan keuangan, teknikal, dan sumber daya TI semakin

berpeng aruh dalam akuisisi produk baru dan teknologi. _x _0.66

7 Perencanaan strategis TI dibicarakan dal am rapat bisnis manajemen.

x 0.66

Total 4.63

Statements compliance values 1 Perencanaan srategis TI merupakan praktik standar dan jika terjadi

pengecu alian akan diketahui oleh manajemen. x 0.66

2 Perencanaan strategis TI merupakan fungsi manajemen dengan

tanggung jawab dari level senior. x 0.33

3 Manajemen mampu untuk mengawasi proses perencanaan strat egis TI, membuat keputusan berdasark annya, dan mengukur

keefekti fannya. x 0.33

4 Baik perencanaan IT jangka pendek dan jangka panjang telah ditentukan dan digunakan di dalam organisasi, dengan update

dilakukan saat dibutuhkan. x 0.66

5 _{Strategi IT dan strategi umum perusahaan semakin menjadi}

terkoordinasi dengan menunjukan proses bisnis dan nilai tambah dan meningkatkan penggunaan aplikasi dan teknologi melalui proses

(11)

112 How much do you agree?

No. Statements

Statements compliance values 6 Adanya proses yang terdefinisi dengan baik untuk menunjukan

penggunaan sumber day a internal dan eksternal yang dibutuhkan

dalam pengembangan sistem dan operasional. x 0.33

Total 3.31

Statements compliance values 1 _{Perencanaan strategis TI merupakan sebuah proses yang}

didokumentasikan, secara berkelanjutan diperh atikan dalam pengaturan tujuan bisnis dan hasil yang terlihat dalam nilai bisnis

melalui investasi di bidang TI. x 0.33

2 Pertimbangan resiko dan nilai tambah secara terus menerus

diperbaharui di dalam proses perencan aan strategis TI. x 0.66

3 Rencana nyat a TI jangka panjang telah dikembangkan dan secara konstan diperbaharui untuk menyesuaikan dengan perubah an

teknologi dan perkembangan yang berk aitan dengan bisnis. x 0.66

4 Pembandingan terhadap norma industri yang sepenuhnya dimengerti dan handal telah dilakukan dan terintegrasi dengan proses

peren can aan strategi. x 0.33

5 Perencanaan strategi meliputi bagaimana pengembangan teknologi baru dapat mengantarkan terciptanya kemampuan bisnis baru dan

meningkatkan kemampuan bers aing perusahaan. x 0.66

(12)

113

4.3.3 Penghitungan Maturity level

Tabel 4.9 Maturity Level PO1

Maturity Level Sum of Statements compliance values Number o f maturity level statements Maturity level compliance value Normalized compliance values Contribution 0 0.00 2 0.00 0.00 0.00 1 3.99 5 0.80 0.24 0.24 2 2.98 4 0.75 0.23 0.45 3 4.63 7 0.66 0.20 0.60 4 3.31 6 0.55 0.17 0.67 5 2.64 5 0.53 0.16 0.80 3.28 1.00 2.78

Berdasarkan perhitungan maturity level dapat dilihat:

1. PO1 berada pada level 2 yang berarti perusahaan telah memiliki perencanaan sistem yang telah distandarisasi, didokumentasikan dan dikomunikasikan, serta telah melakukan pengembangan sistem tapi belum ada pengawasan dari pihak manajemen.

2. PO2 berada pada level 2 (dapat dilihat pada L87) yang berarti perusahaan memahami pentingnya arsitektur dan telah menetapkan kebijakan dasar arsitektur sistem informasi, serta adanya rencana pelatihan yang bersifat formal, akan tetapi pelatihan tersebut masih berdasrkan oleh inisiatif individual.

3. PO3 berada pada level 2 (dapat diliha pada L87) yang berarti manajemen memahami pentingnya infrastruktur teknologi dengan mendefinisikan rencana infrastruktur teknologi tapi belum diaplikasikan secara konsisten.

4. PO4 berada pada level 2 ( dapat dilihat pada L88) yang berarti perusahaan telah menetapkan dan mengembangkan struktur organisasi IT, ditentukannya lingkungan pengendalian internal dan ada formalisasi hubungan dengan pihak

(13)

114 lain, tapi belum ada pengukuran untuk mendukung sasaran bisnis dan faktor kesuksesan.

5. PO5 berada pada level 2 (dapat dilihat pada L88) yang berarti perusahaan telah memformalkan, mendokumetsikan dan mengkomunikasikan investasi IT, serta melakukan pelatihan formal terhadap para staf, tetapi pelatihan formal masih didasarkan pada inisiatif individu.

6. PO6 berada pada level 2 (dapat dilihat pada L88) yang berarti pengendalian informasi dan lingkungan manajemen kulitas telah dikembangkan sepenuhnya, didokumentasikan dan dikomunikasikan. Proses pengembangan kebijakan telah terstruktur, terawatt dan diketahui oleh staff. M anajemen menetapkan pentingnya keamanan IT serta adanya pelatihan staf secara formal untuk mendukung lingkungan pengendalian sistem informasi tapi tidak diaplikasikan secara tegas. 7. PO7 berada pada level 3 (dapat dilihat pada L88) yang berarti adanya proses

yang didefinisikan dan didokumentasikan untuk mengelola sumberdaya manusia. Terdapat rencana manajemen sumber daya manusia. Adanya pelatihan untuk sumberdaya manusia.

8. PO8 berada pada level 2 (dapat dilihat pada L89) yang berarti proses Quality

Management System (QM S) telah ditentukan dan dibicarakan oleh perusahaan.

adanya program pendidikan dan pelatihan untuk meningkatkan kualitas. Adanya survey yang direncanakan untuk mengetahui kepuasan terhadap kualitas sistem manajemen tapi tidak dilakukan secara berkala.

9. PO10 berada pada level 3 (dapat dilihat pada L89) yang berarti proses manajemen proyek IT dan metodologi telah ditetapkan dan dikomunikasikan. Proyek-proyek IT didefinisikan sesuai tujuan. Adanya komitmen antara senior IT

(14)

115 dan manajemen bisnis dalam pengelolaan proyek. Proyek mulai dikelola sebagai portofolio. Prosedur dan implementasi sistem didefinisikan, tapi tidak secara luas diterapkan oleh manajer IT.

10. AI1 berada pada level 3 (dapat dilihat pada L89) yang berarti adanya pendekatan yang jelas dan terstruktur dalam menentukan solusi IT. M empertimbangkan evaluasi alternative terhadap kebutuhan pengguna, peluang teknologi, kelayakan ekonomi, penilaian resiko dan faktor lain untuk menentukan solusi IT.proses untuk menentukan solusi IT diaplikasikan kedalam beberapa proyek..

11. AI2 berada pada level 2 (dapat dilihat pada L89) yang berarti tingkat kesuksesan aplikasi sangat tergantung pada kemampuan dan pengalaman kerja IT. Keamanan dan ketersediaan aplikasi dalam perancangan, atau akuisisi sotware aplikasi menjadi pertimbangan kecil. Pemeliharaan tidak berjalan dengan baik dan mengalami masalah ketika kehilangan pengetahuan internal perusahaan. 12. AI3 berada pada level 3 (dapat diliha pada L90) yang berarti adanya proses yang

jelas, terdefinisis dan dapat dimengerti mengenai akuisisi dan pemeliharaan infrastruktur IT. Proses tersebut mendukung kebutuhan dari aplikasi bisnis yang terpenting dan disesuaikan dengan IT dan strategi bisnis. Perawatannya direncanakan, dijadwalkan, dan dikoordinasikan. Adanya lingkungan yang terpisah untuk pengujian dan produksi.

13. AI4 berada pada level 3 (dapat dilihat pada L90) yang berarti tersedianya dokumentsi kerangka kerja yang jelas, dapat dipahami dan dimengerti oleh pengguna. Perbaikan dokumentsi dan prosedur dilakukan atas reaksi secara spontan. Prosedur dapat diakses jika terjadi maslaah. Adanya pendekatan yang terperinci tapi pada penerapannya sangat bervariasi karena tidak ada kendali.

(15)

116 Pengguna dilibatkan secara informal dalam proses pengembangan dan pemeliharaan prosedur.

14. AI5 berada pada level 3 (yang dapat dilihat pada L90) yang berarti manajemen membuat kebijakan dan prosedur untuk proses pengakuisisian IT. Kebijakan dan prosedur berpedoman pada proses pengadaan organisasi secara keseluruhan. Akuisisi IT sebagian besar telah terintegrasi dengan keseluruhan sistem pengadaaan bisnis. Ada standar IT untuk proses akuisisi sumberdaya IT.

15. AI6 berada pada level 3 (yang dapat dilihat pada L90) yang berarti proses perubahan manajemen yang tidak formal dan sebagian besar perubahan yang dilakukan mengikuti pendekatan tersebut, dimana masih belum terstruktur, tidak sempurna dan rentan akan resiko. Keakuratan susunan dokumentasi tidak konsisten hanya terbatas pada perencanaan dan penilaian dampak sebelum dilakukan perubahan.

16. AI7 berada pada level 3 (yang dapat dilihat pada L91) yang berarti ada beberapa konsistensi antara pendekatan pengujian dan akreditasi, tapi tidak berdasarkan metodologi apapun. Keputusan mengenai pengujian dilakukan oleh anggota tim pengembangan dan biasanya terjadi kelalaian dalam pengintegrasian oengujian. Terdapat proses persetujuan yang dilakukan secara informal.

17. DS1 berada pada level 3 (yang dapat dilihat pada L91) yang berarti terdapat tingkatan layanan yang disepakati, tapi informal dan tidak ditinjau. Pelaporan tingkatan layanan tidak lengkap dan mungkin tidak relevan. Coordinator tingkatan layanan layanan ditetapkan dengan tanggung jawab yang ditentukan tapi wewenangnya terbatas. Jika ada proses kepatuhan basi SLA, sifatnya sukarela dan tidak dipertegas.

(16)

117 18. DS2 berada pada level 3 (yang dapat dilihat pada L91) yang berarti adanya

prosedur yang didokumentasikan untuk layanan pihak ke-3 dengan proses yang jelas untuk bernegosiasi dengan vendor. Hubungan dengan pihak ke-3 murni bersifat kontraktual. Sifat layanan yang akan diberikan diperinci di kontrak dan termasuk persyaratan legal operasional dan control. Adanya pengawasan terhadap tanggung jawab pihak ke-3. pernyataan kontraktual didasarkan atas kalimat yang distandarisasi. Resiko bisnis yang terkait dengan pihak ke-3 dinilai dan dilaporkan.

19. DS3 berada pada level 3 (yang dapat dilihat pada L91) yang berarti persyaratan kinerja dan kapasitas ditentukan melalui siklus hidup sistem. Terdapat persyaratan dan metrik tingkatan layanan yang ditentukan untuk mengukur kinerja operasional. Adanya model untuk persyaratan kinerja dan kapasitas di masa yang akan dating setelah proses yang ditentukan. Laporan dibuat dengan memberikan statistik kinerja. M asalah yang menyangkut kinerja dan kapasitas mungkin terjadi dan memaakan waktu untuk memperbaikinya. Selain tingkat layanan yang di umumkan, pengguna dan pelanggan dapat merasa skeptis tentang kapabilitas layanan.

20. DS4 berada pada level 3 (yang dapat dilihat pada L92) yang berarti akuntabilitas untuk manajemen layanan bersifat ambigu. Tanggung jawab akan perencanaan dan pengujian layanan ditetapkan dengan jelas dan ditugaskan. Rencana kelanjutan IT didokumentasikan dan didasarkan pada kritikal sistem dan dampak bisnisnya. Adanya pelaporan pengujian layanan secara berkala. Individu mengambil inisiatif untuk mengikuti standard dan menerima pelatihan untuk berhadapan dengan insisden atau bencana besar.

(17)

118 21. DS5 berada pada level 3 (yang dapat dilihat pada L92) yang berarti adanya

kesadaran keamanan dan didorong oleh manajemen. Prosedur keamanan IT ditentukan dan disejajarkan dengan kebijakan keamanan IT. Tanggung jawab akan keamanan IT ditugaskan dan dimengerti, tapi tidak ditegaskan secara konsisten. Recana keamanan dan solusi keamanan IT ada karena analisis resiko. Pelaporan keamanan tidak berisikan focus bisnis yang jelas. Pengujian keamanan

ad hoc dilakukan. Tersedianya pelatihan keamanan untuk IT dan bisnis, tapi

dijadwalkan dan diatur secara informal.

22. DS6 berada ada level 3 (yang dapat dilihat pada L92) yang berarti adanya kesadaran akan kebutuhan untuk mengidentifikasikan dan mengalokasikan biaya. Alokasi biaya didasarkan atas asumsi biaya informal atau belum sempurna. Proses alokasi biaya dapat diulang. Tidak ada pelatihan formal atau komunikasi pada prosedur identifikasi dan alokasi biaya. Tidak adanya tanggung jawab untuk pengumpulan atau pengalokasian biaya.

23. DS7 berada pada level 3 (yang dapat dilihat pada L92) yang berarti program pelatihan dan pendidikan diinstitusikan dan dibicarakan, pegawai dan manajer mengidentifikasi dan mendokumentasi kebutuhan pelatihan. Proses latihan dan pendidikan distandarisasi dan didokumentasikan. Anggaran, sumberdaya, fasilitas dan pelatih disiapkan untuk mendukung program pelatihan dan pendidikan. Kelas formal diberikan kepada pegawai mengenai perilaku etis dan kesadaran dan prakter keamanan sistem. Sebagian besar proses pelatihan dan pendidikan diawasi, tapi sepertinya tidak semua penyimpangan terdeteksi oleh manajemen. Analisis masalah pelatihan dan pendidikan hanya diterapkan pada waktu tertentu.

(18)

119 24. DS8 berada pada level 3 (yang dapat dilihat pada L93) yang berarti

dibutuhkannya bagian layanan dan proses insiden diketahui dan diterima. Prosedur telah distandarisasi dan didokumentasi, dan terjadinya pelatihan informal. Keraguan dan insisden dilacak atas dasar manual dan diawasi secara individual, tapi sistem pelaporan formal tidak ada. Respon yang tepat waktu terhadap keraguan dan insisden tidak diukur dan insisden tidak dapat terpecahkan.

25. DS10 berada pada level 3 (yang dapat dilihat pada L93) yang berarti dibutuhkannya sistem manajemen yang terintegrasi, efektif untuk masalah, diterima dan dibuktikan. Resolusi masalah dan proses pengangkatan telah distandarisasi. Tidak terdeteksinya penyimpangan dari norma atau standar yang ditetapkan. Informasi dibagi antara staf dengan cara yang proaktif dan formal. Tinjauan manajemen akan insiden dan analisis identifikasi dan resolusi masalah terbatas dan informal.

26. DS11 berada pada level 3 (yang dapat dilihat pada L93) yang berarti tanggung jawab akan manajemen data ditetapkan. Kepemilikan data ditugaskan kepada pihak yang bertanggung jawab yang mengontrol integritas dan keamanan. Prosedur manajemen data diformalisasikan dalam IT. Sedikit pengawasan atas tersedianya manajemen data. M unculnya pelatihan untuk anggota staf manajemen data.

27. DS12 berada pada level 3 (yang dapat dilihat pada L93) yang berarti perusahaan menerima dan memahami kebutuhan untuk mempertahankan lingkungan komputerisasi. Pengendalian lngkunga, pertahanan, pencegahan dan keamanan

(19)

120 fisik adalah hal anggaran yang disetujui dan diawasi oleh manajemen.fasilitas fisik masih rendah dan belum dapat diidentifikasi.

28. DS13 berada pada level 3 (yang dapat dilihat pada L94) yang berarti perlunya manajemen operasi computer dipahami dan diterima di dalam organisasi. Sumberdaya dialokasikan dan terjadi beberapa pelatihan. Fungsi dapat diulang, ditentukan, distandarisasi, didokumentasikan dan dibicarakan secara formal. Peristiwa dan hasil pekerjaan yang telah selesai dicatat, dengan pelaporan terbatas kepada manajemen. Pemeliharaan dan kesepakatan layanan dengan vendor masih bersifat informal.

29. M E1 bearada pada level 2 (yang dapat dilihat pada L94) yang berarti pengukuran dasar yang akan diawasi diidentifikasi. Terdapat metode dan teknik pengumpulan dan penilaian, tapi prosesnya tidak diambil dari seluruh organisasi. Hasil pengawasan didasarkan atas keahlian individu.

30. M E4 berada pada level 3 (yang dapat dilihat pada L94) yang berarti adanya keasadaran akan masalah tatakelola IT. Dikembangkannya aktivitas tata kelola IT dan indicator kinerja. Proses IT diidentifikasi untuk peningkatan yang didasarkan atas keputusan individu. Komunikasi pada standar tata kelola dan tanggung jawab diserahkan kepada individu.

(20)

121

4.3.4 Kondisi Perusahaan Saat Ini

Berikut adalah perhitungan maturity level dari segi IT Process:

Tabel 4.10 Maturity Level IT Process

IT Proses Maturity Level

PO1 2.78 PO2 2.92 PO3 2.97 PO4 2.87 PO5 2.92 PO6 2.94 PO7 3.10 PO8 2.61 PO10 3.16 AI01 3.34 AI02 3.42 AI03 3.40 AI04 3.29 AI05 3.02 AI06 3.53 AI07 3.44 DS01 3.56 DS02 3.31 DS03 3.23 DS04 3.23 DS05 3.34 DS06 3.36 DS07 3.29 DS08 3.52 DS10 3.16 DS11 3.15 DS12 3.15 DS13 3.15 ME01 2.86 ME04 3.34

(21)

122 Berdasarkan perhitungan Maturity Level IT Process IT Process (lihat pada L87 sampai L94)yang berdasarkan pada Linking Business Goals “ Customer Perspective

”diatas maka didapat tiga table perhitungan Maturity, yaitu:

Tabel 4.11 MaturityLevel IT Process per Domain

IT Proses Maturity Level Maturity Level Domain Maturity Global PO1 2.78 PO2 2.92 PO3 2.97 PO4 2.87 PO5 2.92 PO6 2.94 PO7 3.10 PO8 2.61 PO10 3.16 2.92 (rata-rat a PO1-PO10) AI01 3.34 AI02 3.42 AI03 3.40 AI04 3.29 AI05 3.02 AI06 3.53 AI07 3.44 3.35 (rata-rat a AI1-AI7) DS01 3.56 DS02 3.31 DS03 3.23 DS04 3.23 DS05 3.34 DS06 3.36 DS07 3.29 DS08 3.52 DS10 3.16 DS11 3.15 DS12 3.15 DS13 3.15 3.29 (rata-rat a DS1-DS13) ME01 2.86 ME04 3.34 3.10

(rata-rat a ME1 dan ME4)

3.16 (rata-rat a dari domain PO, AI,

(22)

123

Tabel 4.12 Maturity Process per IT Goals Processes and Maturity Level No. IT G OALS

IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L

Maturity level rata-rata 1 Respond to business requirements in alignment with the business strategy.

P O1 2.78 P O2 2.92 P O4 2.87 P O10 3.16 AI1 3.34 AI6 3.53 AI7 3.44 DS1 3.56 DS3 3.23 ME1 2.86 3.17

2 Respond to governance requirements in line with board direction.

P O1 2.78 P O4 2.87 P O10 3.16 ME1 2.86 ME4 3.34 3.00

3 Ensure satisfaction of end users with service offerings and service levels.

P O8 2.61 AI4 3.29 DS1 2.56 DS2 3.31 DS7 3.29 DS8 3.52 DS10 3.16 DS13 3.15 3.11

4 Optimise the use of information.

P O2 2.92 DS11 3.15 3.04

5 Create IT agility. P O2 2.92 P O4 2.87 P O7 3.1 AI3 3.4 3.07

7 Acquire and maintain integrated and standardised application systems. P O3 2.97 AI2 3.42 AI5 3.02 3.14 8 Acquire and maintain an integrated and standardised IT infrastructure. AI3 3.4 AI5 3.02 3.21 10 Ensure mutual satisfaction of third-party relationships. DS2 3.31 3.31 12 Ensure transparency and understanding of IT cost, benefits, strategy, policies and service levels.

(23)

124

Tabel 4.12 lanjutan

P rocesses and Maturity Level

No. IT GOALS

IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L IT.P M.L

Maturity level rata-rata 16 Reduce solution

and service delivery

defects and rework. P O8 2.61 AI4 3.29 AI6 3.53 AI7 3.44 DS10 3.16 3.21

20 Ensure that automated business transactions and information exchanges can be trusted. P O6 2.94 AI7 3.44 DS5 3.34 3.24 22 Ensure minimum business impact in the event of an IT service disruption or change. P O6 2.34 AI6 3.53 DS4 3.23 DS12 3.15 3.06

23 Make sure that IT services are available as

required. DS3 3.23 DS4 3.23 DS8 3.52 DS13 3.15 3.28

24 Improve IT’ s cost-efficiency and its contribution to business

profitability. P O5 2.92 DS6 3.36 3.14

25 Deliver projects on time and on budget, meeting quality standards. P O8 2.61 P O10 3.16 2.89 26 Maintain the integrity of information and processing infrastructure. AI6 3.53 DS5 3.34 3.44 Total Rata‐rata 3.16

(24)

125 Tabel diatas menunjukan tingkat Level Maturity pada setiap IT Goals, dimana setiap nilai Maturity Level dapat dilihat pada L87 sampai L94.

Tabel 4.13 Maturity Level per Business Goal

IT GOALs

Business Goal IT. G M.L IT. G M.L IT. G M.L IT. G M.L IT. G M.L

Maturity level rata-rata

Improve customer orientation

and service. ₃ _3.11 ₂₃ _3.28 _3.20

Offer competitive products

and services ₅ _3.07 ₂₄ _3.14 _3.11

Estabilsh service continuity

and availability. ₁₀ _3.31 ₁₆ _3.21 ₂₂ _3.06 ₂₃ _3.28 _3.22

Create agility in responding to changing business

requirements. ₁ _2.78 ₅ _3.07 ₂₅ _2.89 2.91

Achieve cost optimisation of

service delivery. ₇ _3.14 ₈ _3.21 ₁₀ _3.31 ₂₄ _3.14 _3.20

Customer Perspective

Obtain reliable and useful information for strategic

decision making. ₂ _3.00 ₄ _3.04 ₁₂ _3.18 ₂₀ _3.24 ₂₆ _3.44 _3.18

TOTAL RATA-RATA 3.13

Keterangan: IT. G :IT Goal M.L : Maturity Level

Berdasarkan data diatas maka diketahui jika Level Maturity Perusahaan pada Customer Perspective sebesar 3.13. Data ini didapat dari Maturity Level setiap IT Goals pada tabel 4.12 Maturity Process per IT Goals.

(25)

LAPORAN HAS IL EVALUAS I PENGENDALIAN S IS TEM INFORMAS I PERKREDITAN PADA PT. BANK KES EJAHTERAAN EKONOMI

Kepada : PT. BANK KES EJAHTERAAN EKONOMI

Divisi : Teknologi Sistem Informasi

Perihal : Laporan Hasil Evaluasi Pengendalian S istem Informasi Perkreditan

Periode : September 2009 – Januari 2010

Oleh : Andriyanto

I Nyoman Sidhi Adiyadnya

Jakarta Januari 2010

(26)

I. Tujuan

Tujuan Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi adalah sebagai berikut:

1. M engetahui proses bisnis pada sistem informasi perkreditan pada “PT. Bank Kesejahteraan Ekonomi ”.

2. M engevaluasi apakah sistem informasi perkreditan yang berjalan telah sesuai dengan pendekatan CobIT.

3. M emberikan rekomendasi usulan terhadap sistem informasi perkreditan pada “PT. Bank Kesejahteraan Ekonomi“berdasarkan hasil evaluasi sistem informasi.

II. Ruang Lingkup

Ruang lingkup Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi adalah sebagai berikut:

1. Evaluasi terhadap sistem informasi perkreditan yang diterapkan pada kantor pusat PT. BANK KESEJAHTERAAN EKONOM I apakah sesuai dengan menggunakan pendekatan CobIT (Control Objectives for Information and

Related Technology). Sebagai standar dari evaluasi sistem informasi yang

dilakukan pada empat domain yang terdiri dari tiga puluh empat pengendalian tingkat atas berdasarkan Customer Perspective.

2. Evaluasi terhadap sistem informasi perkreditan KPRI.

(27)

III. Metode Penelitian

M etode penelitan yang kami gunakan dalam melakukan penelitian ini adalah 1. Studi pustaka

yaitu melakukan analisa terhadap sistem melalui studi pustaka untuk mendapatkan data secara tertulis dengan mempelajari buku-buku ilmiah dan literatur yang berhubungan dengan judul penelitian.

2. Studi lapangan

M elakukan pengamatan secara langsung terhadap perusahaan yang menjadi objek penelitian untuk mendapatkan informasi dan data yang lebih akurat. Dalam studi lapangan ini, digunakan tiga metode yaitu:

1. Observasi, melakukan pengamatan terhadap kegiatan yang terjadi selama proses.

2. Questionaire, yaitu suatu metode pengumpulan data dengan membuat daftar pertanyaan secara tertulis yang ditujukan kepada divisi terkait dalam sistem aplikasi.

IV. Hasil Evaluasi

Berdasarkan evaluasi yang dilakukan, maka berikut adalah hasil evaluasi pengendalian sistem informasi perkreditan:

1. Domain Plan and Organise Temuan 1 :

Perusahaan telah memiliki program untuk mengidentifikasi kekurangan atau kesalahan dalam penginputan data. Sehingga antara proses bisnis dan IT terintegrasi. Perusahaan melakukan evaluasi kinerja terhadap sistem tapi hal ini belum ada peraturan tertulis yang mengatur periode untuk melakukan evaluasi. Perencanaan strategis IT

(28)

dibuat berdasarkan dokumentasi rencana IT, sehingga sistem dapat mencapai tujuan bisnis perusahaan.

Rekomendasi:

Perencanaan IT yang ada pada perusahaan cukup baik, hal ini terlihat pada dokumentasi yang dilakukan setiap melakukan pengembangan. Akan tetapi dalam melakukan evaluasi kinerja sistem, tidak terdapat peraturan tertulis yang mengatur hal tersebut. Sehingga evaluasi tidak dilakukan secara periodik. Oleh karena itu perusahaan terutama divisi TSI (Teknologi Sistem Informasi) membuat peraturan secara tertulis untuk melakukan evaluasi terhadap kinerja sistem.

Temuan 2:

Perusahaan telah memiliki gambaran model proses bisnis yang digunakan untuk melakukan pengembangan sistem informasi. Akan tetapi perusahaan tidak menggunakan kamus data sebagai dasar aturan dalam pertukaran elemen data. Perusahaan memiliki skema atas pembagian data berdasrkan sensitifitas dan tingkat kepentingan data. Adanya prosedur yang dikelola guna menjamin integritas dan konsistensi data.

Rekomendasi :

Perusahaan memiliki arsitekture informasi yang jelas, akan tetapi perusahaan tidak mengenal adanya kamus data melainkan problem lock. Sehingga tidak adanya aturan dalam pertukaran elemen data. Oleh karena itu perusahaan harus menetapkan kamus data yang digunakan sebagai aturan untuk pertukaran elemen data.

Temuan 3:

Perusahaan telah melakukan proses analisa, pemilihan dan penggunaan teknologi guna mendukung proses bisnis perusahaan dan ada kebijakan intern yang mengatur

(29)

penggunaan teknologi. Ada perencanaan infrastruktur, pengawasan perkembangan teknologi dan bisnis secara berkala.

Rekomendasi :

Proses yang dilakukan perusahaan untuk penggunaan teknologi dan pengawasan telah ada, serta ada kebijakan intern yang dilakukan perusahaan. Oleh karena itu kebijakan intern harus didukung oleh kebijakan ekstern dalam melakukan pengembangan sistem.

Temuan 4:

Adanya krangka kerja IT, Komite strategis IT, dan komite pelaksana IT. Penerapan fungsi IT pada bagian perkreditan. Ada struktur Organisasi IT yang mengatur tentang wewenang dan tanggung jawab anggota IT. Adanya pengawasan terhadap fungsi IT maupun sumberdaya IT untuk mengurangi resiko yang mungkin terjadi. Perusahaan menjalin kerjasama dengan pihak outsource dalam melakukan pengembangan sistem.

Rekomendasi:

Adanya pemisahaan yang tertulis dalam pengaturan wewenang dan tanggung jawab anggota yang tertuang dalam struktur organisasi IT. Perusahaan menjalin kerjasama dengan pihak outsorce dalam melakukan pengembangan sistem. Hal tersebut harus ditingkatkan dengan menetapkan standard an kebijakan dalam menjalin kerjasama dengan pihak outsource.

Temuan 5:

Perusahaan tidak melakukan evaluasi terhadap biaya yang digunakan oleh IT.

Rekomendasi:

Dilakukan evaluasi secara berkala untuk mengetahui efisien dan efektifitas dalam penggunaan biaya dalam IT.

(30)

Temuan 6:

Adanya kebijakan intern dan pengendalian IT. Ada kerangka kerja sebagai pendekatan terhadap masalah, resiko dan pengendalian IT. Adanya pemahan terhadap tujuan penggunaan IT oleh pengguna maupun manajemen atas.

Rekomendasi:

Selain kebijakan intern untuk mengatur penggunaan IT, baiknya diterapkan juga kebijakan ekstern untuk meningkatkan kinerja sistem. Serta melakukan evaluasi terhadap kebijakan sesuai dengan perkembangan IT.

Temuan 7:

Perusahaan melakukan test untuk setiap staff baru tapi tidak adanya batasan minimum dalam penerimaan karyawan. M elakukan evaluasi terhadap kinerja staff secara berkala. Adanya kegiatan training untuk para staff. Adanya pertukaran informasi antara staff.

Rekomendasi:

Tetapkan aturan secara jelas dalam penerimaan karyawan. Bedakan staf yang melakukan evaluasi terhadap kinerja staf lainnya untuk mendapatkan hasil yang akurat.

2. Domain Acquire and Implement Temuan 1:

Perusahaan telah menganalisis resiko yang terkait dengan proses bisnis serta telah membuat rancangan solusi sebagai penyelesaian. Perusahaan tidak membagi wewenang secara detail kepada setiap anggota, sehingga jika terjadi kesalahan penyelesaiannya cukup lama.

(31)

Rekomendasi:

M enjelaskan secara detail dan menetapkan peraturan yang jelas dalam wewenang setiap staf.

Temuan 2:

Belum adanya software khusus untuk mengidentifikasi permasalah yang mungkin timbul.

Rekomendasi:

M embangun sistem untuk mengidentifikasi kemungkinan permasalahan yang timbul.

Temuan 3:

Ada pelatihan terhadap para pengguna sistem, serta ada modul untuk membantu user dalam menggunakan sistem. Tidak dilakukannya evaluasi terhadap pengetahuan pengguna terhadap IT.

Rekomendasi:

Lakukan evaluasi secara berkala terhadap para pengguna sebagai dasar dari hasil kegiatan training.

Temuan 4:

Adanya prosedur pengendalian tentang pengembangan sistem. Ada kebijakan mengenai kesepakatan kontrak dengan konsultan. Dilakukan pemilihan supplier yang sesuai dengan kebutuhan. Adanya perlindungan terhadap kontrak yang telah disepakati.

Rekomendasi:

Lakukan evaluasi dari setiap pengendalian dan kebijakan yang mengatur dengan pihak luar.

(32)

Temuan 5:

Terdapat prosedur yang disusun untuk menangani perubahan aplikasi dan ada penilaian secara terstruktur terhadap setiap perubahan. Adanya proses untuk menentukan, menguji, mendokumentasikan, menilai dan menyetujui perubahan yang mengacu pada solusi dari langkah vendor. Adanya laporan tentan diterima atau ditolaknya perubahan sistem.

Rekomendasi:

Setiap dilakukan perubahan terhadap sistem, baiknya dilakukan evaluasi terhadap perubahan tersebut secara berkelanjutan.

3. Domain Deliver and Support Temuan 1:

Tidak adanya antisipasi dini jika terjadi kesalahan input data perkreditan, sehingga data tersebut langsung masuk ke dalam database. Tidak adanya rate yang membatasi pengisian NPWP pada aplikasi rating koperasi.

Rekomendasi:

Pada sistem diberikan peringatan setiap melakukan input data maupun perbaikan data. M emberikan rate pada bagian NPWP sesuai dengan peraturan yang ada.

Temuan 2:

Tidak adanya rencana kinerja dan kapasitas sistem pada perusahaan. Belum memadainya sistem yang ada karena kebijakan investasi.

Rekomendasi:

Tentukan rencana kinerja dan kapasitas sistem sebelum ditemukannya Bugs pada sistem. Bicarakan kebijakan kepada pihak direksi dan direktur.

(33)

Temuan 3:

Pengamanan yang dilakukan perusahaan untuk melindungi sistem dari gangguan pihak ekstern perusahaan cukup baik yaitu penggunaan antivirus Symantex dan PC-M av, serta ada sistem login yang telah ditentukan oleh admin pada sistem rating dan pembatasan orang yang menggunakan bank Checking.

Rekomendasi:

Untuk penggunaan antivirus yang ada, baiknya mengikuti perkembangan antivirus, setidaknya dilakukan update setiap saat dan menggunakan firewall yang yang telah baik bukan hanya standar dari aplikasi OS.

Temuan 4:

Perusahaan tidak melakukan peninjauan kelayakan terhadap biaya pada IT secara berkala.

Rekomendasi:

Lakukan peninjauan secara berkala, bila perlu lakukan pengecekkan setiap dilakukannya pembelian IT baru.

Temuan 5:

Tidak adanya fasilitas pelacakan masalah maupun pendekatan masalah, sehingga tidak adanya integrasi dengan proses penyelesaian masalah.

Rekomendasi:

Bangun program khusus untuk melacak masalah yang mungkin timbul pada aplikasi sistem, sehingga kegiatan bisnis perusahaan tidak terganggu dan tidak merugikan perusahaan.

(34)

4. Monitor and Evaluate Temuan 1:

Adanya pengawasan, pengukuran dan tinjauan kualitas untuk melakukan tindakan perbaikan.

Rekomendasi:

Lakukan evaluasi terhadap tinjauan kualitas untuk melakukan tindakan perbaikan.

Temuan 2:

Perusahaan telah menyusun kerangka IT. Para manajemen mengerti tentang permasalahan IT. Sumberdaya IT mendukung peningkatan penggunaan IT. Perusahaan melakukan evaluasi secara berkala.

Rekomendasi:

Hal tersebut cukup baik,tapi masih kurang jika tidak dilakukan pengembangan sistem mengikuti perkembangan teknologi saat ini.

V. S impulan

Berdasarkan hasil evaluasi yang dilakukan, maka:

1. Kondisi Pengendalian Sistem Informasi pada PT. Bank Kesejahteraan Ekonomi berdasarkan Linking Business Goal “Customer Perspective”, maka perusahaan berada pada level 3.13 (lihat tabel 4.13).

2. Kondisi Pengendalian Sistem Informasi pada PT. Bank Kesejahteraan Ekonomi berdasarkan IT Process, maka perusahaan berada pada level 3.16 (lihat tabel 4.11).

(35)

Demikian hasil Evaluasi Pengendalian Sistem Informasi Perkreditan pada PT. Bank Kesejahteraan Ekonomi berdasarkan COBIT 4.1 dengan Linking Business Goal

“Customer Perspective”.

Jakarata, Januari 2010