EVALUASI PENGENDALIAN SISTEM ... -...
Transcript of EVALUASI PENGENDALIAN SISTEM ... -...
1
EVALUASI PENGENDALIAN SISTEM INFORMASI PERSEDIAAN
PADA PT. VIESTA MANDIRI JAYA
Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia
Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia
dan
Silvi Binus University, Jakarta, DKI Jakarta, Indonesia
Abstrak
Penggunaan sistem informasi dalam kegiatan operasional perusahaan sangat berpengaruh agar perusahaan mampu bersaing dalam lingkungan bisnis yang kompetitif. Dengan adanya penggunaan sistem informasi dalam kegiatan operasional maka diperlukan juga adanya evaluasi terhadap sistem informasi yang berjalan untuk mengetahui seberapa jauh hasil yang telah dicapai dibandingkan dengan standar atau tujuan yang ingin dicapai oleh perusahaan. Tujuan dari penelitian ini adalah untuk melakukan evaluasi pengendalian sistem informasi persediaan yang sedang berjalan dan mengidentifikasikan kelemahan yang ada pada PT. Viesta Mandiri Jaya berdasarkan internal perspective serta menilai tingkat kematangan perusahaan menurut Maturity Model CobIT. Metode penelitian yang digunakan oleh penulis adalah metode studi kepustakaan dan metode studi lapangan. Hasil yang dicapai dalam penelitian ini adalah hasil evaluasi berupa temuan masalah dan rekomendasi yang dijadikan sebagai laporan evaluasi, dan memberikan gambaran mengenai pengendalian yang telah dilakukan dan kelemahan dari pengendalian tersebut. Dari evaluasi yang sudah dilakukan, diketahui bahwa sistem informasi persediaan pada PT. Viesta Mandiri Jaya mampu mendukung kinerja perusahaan secara keseluruhan, namun masih terdapat kelemahan-kelemahan dalam sistem. Pada saat ini, tingkat kematangan perusahaan berada pada level 2 Repeatable but Intuitive menurut Maturity Model CobIT.
Kata kunci : Evaluasi, Pengendalian, Persediaan, Sistem Informasi
2
1. Pendahuluan
1.1 Latar Belakang
Perkembangan sistem informasi yang pesat telah mempengaruhi seluruh aspek kehidupan
manusia, terutama pada kegiatan operasional perusahaan agar mampu bersaing dalam lingkungan
bisnis yang kompetitif. Untuk mendukung kegiatan operasionalnya, perusahaan membutuhkan
informasi yang relevan dan akurat. Sehingga dewasa ini, tidak sedikit perusahaan yang melakukan
penerapan sistem informasi terkomputerisasi demi meningkatkan efektifitas dan efisiensi dalam
mengelola informasi perusahaan.
Dengan pengunaan sistem informasi yang strategis, perusahaan tidak hanya meningkatkan
efektifitas dan efisiensi tetapi juga akan memperoleh keuntungan kompetitif terutama dalam
memperoleh dan mengelola informasi yang tepat dan akurat untuk mempermudah proses
pengambilan keputusan. Akan tetapi, penggunaan teknologi informasi ini harus disertai dengan
pengendalian untuk memastikan sistem informasi yang ada sesuai dengan prosedur yang telah
ditetapkan untuk mendukung pencapaian tujuan perusahaan.
Oleh karena itu, sistem informasi yang digunakan sebaiknya memiliki mekanisme
pengendalian internal (internal control). Penerapan mekanisme pengendalian ini dapat
diwujudkan dengan melakukan evaluasi secara periodik. Evaluasi menjadi sangat dibutuhkan
untuk menilai kinerja suatu sistem informasi. Hal ini untuk menghindari terjadinya kesalahan baik
yang disebabkan oleh pengguna maupun pada perangkat sistem informasi tersebut yang akan
berdampak pada kinerja perusahaan.
1.2 Ruang Lingkup
Ruang lingkup dari penelitian adalah mencakup evaluasi dan perhitungan Maturity Level
pada sistem informasi persediaan pada PT. Viesta Mandiri Jaya. Adapun pembahasan yang
dilakukan meliputi sebagai berikut:
3
1. Evaluasi terhadap sistem informasi persediaaan PT. Viesta Mandiri Jaya menggunakan
pendekatan CobIT (Control Objectives for Information and Related Technology) sebagai
standar evaluasi sistem informasi.
2. Perspective IT Balance Scorecard berdasarkan teori CobIT versi 4.1 dengan menggunakan
internal perspective.
3. Perhitungan maturity level pengendalian pada PT. Viesta Mandiri Jaya berdasarkan
Information Systems Control Journal vol. 3 tahun 2003: The CobIT Maturity Model in a
Vendor Evaluation Case oleh Andrea Pederiva.
2. Landasan Teori
2.1 CobIT (Control Objectives for Information and Related Technology)
Menurut Gondodiyoto (2009, p163), CobIT adalah sekumpulan dokumentasi best
practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen,
untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT.
CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu
business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat
memanfaatkan guidelines dengan baik. Menurut Gondodiyoto (2007, p279), kerangka kerja CobIT
terdiri dari beberapa arahan (guidelines), yakni :
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control objectives) yang
tercermin dalam 4 domain, yaitu:
a. Perencanaan dan Organisasi (Planning and Organization)
Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi teknologi
informasi yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan
4
bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan,
dan diatur pelaksanaannya (dari berbagai perspektif).
b. Perolehan dan Implementasi (Acquisition and Implementation)
Domain ini untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan
teknologi informasi, diidentifikasi, dikembangkan atau diimplementasikan secara
terpadu dalam proses bisnis perusahaan.
c. Penyerahan dan Pendukung (Delivery and Support)
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi
terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual
atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).
d. Monitoring and Evaluating
Domain ini mencakup semua proses teknologi informasi yang perlu dinilai secara
berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai dan
kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance dan saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan.
5
Gambar 2.1 CobIT Processes Defined Within the Four Domains
Sumber : ITGI-CobIT 4.1th edition (2007, p26)
2.2 Maturity Model
Maturity model pada CobIT digunakan untuk menentukan pilihan strategi yang akan
digunakan dan melakukan perbandingan dengan standar yang ada. Maturity model pada CobIT
digunakan untuk membantu manajemen dalam mengidentifikasi hal-hal sebagai berikut:
6
1. Kinerja yang sebenarnya pada organisasi, untuk melihat posisi organisasi saat ini
2. Status industri pada saat ini, sebagai bahan pertimbangan
3. Target perusahaan untuk pengembangan lebih lanjut, yaitu menyatakan level yang ingin
dicapai oleh perusahaan
4. Pertumbuhan yang diperlukan saat ini dan yang akan datang
Maturity model pada CobIT terdapat enam level penilaian seperti gambar berikut:
Gambar 2.2 Maturity Model pada CobIT
Sumber : ITGI CobIT 4.1th edition (2007, p18)
Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model
secara umum seperti di bawah ini:
1. Level 0 Non-existent
Tahap yang paling awal, masih pemula (belum mapan). Proses manajemen tidak ada sama
sekali, komputerisasi dilaksanakan secara ilmiah, tidak diimplementasikan berdasarkan suatu
metodologi yang tepat. Misalnya perusahaan menggunakan komputer tetapi hanya untuk
pengetikan atau pembuatan tabel-tabel laporan yang belum terarah dan dilakukan secara
amatiran. Artinya sudah menggunakan komputer, tetapi belum menjalankan sistem berbasis
komputerisasi.
7
2. Level 1 Initial/Ad Hoc
Pada tahap ini sudah mulai ada kegiatan penyusunan sistem komputerisasi yang lebih
terorganisir/terarah, tetapi perencanaan, perancangan, dan proses masih bersifat ad-hoc dan
tidak terorganisir dengan baik.
3. Level 2 Repeatable but Intuitive
Pada tahap ini, proses perencanaan, perancangan, dan implementasi sistem berbasis
komputer telah menemukan pola yang lebih terarah, berjalan dengan pola yang sama (mulai
mengenal “metodologi” pengembangan sistem).
4. Level 3 Defined Process
Pada tahap ini, seluruh proses telah didokumentasikan dan telah dikomunikasikan dan
dilaksanakan berdasarkan metoda pengembangan sistem komputerisasi yang baik.
5. Level 4 Managed and Measurable
Pada tahap ini, proses komputerisasi telah dapat dimonitor dan terukur dengan baik,
manajemen proyek pengembangan sistem komputerisasi sudah dijalankan dengan lebih
terorganisir.
6. Level 5 Optimised
Pada tahap ini, best practices telah diikuti dan diotomatisasi pada sistem berdasarkan proses
yang terencana, terorganisir dan menggunakan metodologi yang tepat.
Menurut Pederiva (2003), “The CobIT Maturity Model in a Vendor Evaluation Case”,
Information Systems Control Journal vol. 3, perhitungan maturity level menggunakan kuesioner
yang berdasarkan pada kriteria Maturity Level CobIT. Kuesioner yang digunakan terdiri atas
pertanyaan serta 4 jawaban yang masing-masing memiliki nilai sebagai berikut:
8
Compliance Level Numeric Values
Agreement with Statement Compliance Value
Not at all 0
A little 0.33
Quite a lot 0.66
Completely 1
Tabel 2.1 Compliance Level Numeric Values
Sumber : Pederiva (2003, p2)
3. Pembahasan
3.1 Gambaran Umum Perusahaan
PT. Viesta Mandiri Jaya adalah perusahaan yang didirikan oleh Bapak Kuswadi Gunawan
pada tanggal 8 Agustus 2005 yang berlokasi di Jl. Husein Sastranegara No 25, Tangerang. PT.
Viesta Mandiri Jaya bergerak di bidang distribusi sandal dan sepatu dengan merek Vi & Vie.
3.2 Struktur Organisasi Perusahaan
9
3.3 Hasil Evaluasi
3.3.1 Hasil Perhitungan Kuesioner
1. Domain Plan and Organize (PO)
2. Domain Acquire and Implement (AI)
11
PT. Viesta Mandiri Jaya menetapkan target pada perusahaannya sebesar 3.00. Dari target
tersebut diharapkan PT. Viesta Mandiri Jaya dapat memenuhi bahkan meningkatkan nilai dari
target yang ditetapkan. Berikut ini merupakan tabel dari hasil perhitungan kuesioner, berdasarkan
status perusahaan saat ini, target perusahaan dan selisihnya (gap).
Sekarang Rata-rata Kuesioner Target Perusahaan Gap
PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50
Rata-rata Kuesioner PO+AI+DS+ME
4 = 9.21 = 2.30
4
PO = 3.00 Gap pada PO 0.44
Rata-rata PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93 AI7 = 2.43
AI = 3.00 Gap pada AI 0.69
Rata-rata AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55
DS = 3.00 Gap pada DS 0.57
Rata-rata DS 2.43 ME1 = 2.15 ME2 = 1.85 ME3 = 1.73 ME4 = 1.91
ME = 3.00 Gap pada ME 1.09
Rata-rata ME 1.91 Total Gap rata-rata 0.70
Tabel 3.1 Gap antara Target dan Status Perusahaan
12
Dari tabel di atas maka dapat diketahui bahwa saat ini perusahaan belum mencapai target
yang telah ditetapkan. Terdapat gap antara status perusahaan saat ini dengan targetnya yaitu
sebesar 0.70.
3.3.2 Hasil Checklist
Berdasarkan evaluasi yang dilakukan terdapat hasil berupa temuan-temuan yang bersifat
positif dan negatif. Berikut adalah hasil temuan dari pelaksanaan evaluasi yang bersifat negatif
beserta rekomendasi atas temuan-temuan yang ada:
1. Domain Plan and Organize (PO)
Temuan 1
Anggaran biaya teknologi infomasi pada perusahaan bukan merupakan prioritas utama bagi
perusahaan.
Rekomendasi
Perusahaan sebaiknya lebih memprioritaskan biaya teknologi informasi pada rencana
anggaran perusahaan.
Temuan 2
Kebijakan dan prosedur pada perusahaan masih belum terdokumentasi dan dikomunikasikan
kepada seluruh personil.
Rekomendasi
Perusahaan sebaiknya melakukan pendokumentasian terhadap kebijakan dan prosedur dan
dikomunikasikan kepada seluruh personil.
Temuan 3
Perusahaan masih memiliki ketergantungan terhadap individu tertentu.
13
Rekomendasi
Perusahaan sebaiknya meminimalkan ketergantungan terhadap individu tertentu dengan
melakukan peralihan pengetahuan dan dokumentasi pengetahuan.
2. Domain Acquire and Implement (AI)
Temuan 1
Perusahaan belum melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis
perusahaan.
Rekomendasi
Perusahaan sebaiknya melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis
perusahaan.
Temuan 2
Perusahan telah menetapkan prosedur dan standar terhadap perubahan pada aplikasi,
prosedur, proses dan sistem, tetapi belum dilakukan dokumentasi terhadap prosedur dan
standar.
Rekomendasi
Sebaiknya perusahaan melakukan dokumentasi terhadap prosedur dan standar perubahan pada
aplikasi, prosedur, proses dan sistem.
3. Domain Deliver and Support (DS)
Temuan 1
Perusahaan belum melakukan perencanaan kinerja dan kapasitas sumber daya teknologi
informasi untuk ke depannya masih belum terorganisir.
14
Rekomendasi
Sebaiknya perusahaan melakukan perencanaan kinerja dan kapasitas sumber daya teknologi
informasi untuk ke depannya secara terorganisir.
Temuan 2
Perusahaan belum melakukan peninjauan terhadap integritas data konfigurasi.
Rekomendasi
Sebaiknya perusahaan melakukan peninjauan terhadap integritas data konfigurasi untuk
meningkatkan operasional manajemen.
Temuan 3
Perusahaan belum melakukan pengawasan terhadap hardware dann software secara rutin.
Rekomendasi
Perusahaan sebaiknya melakukan pengawasan terhadap hardware dann software secara rutin.
4. Domain Monitor and Evaluate (ME)
Temuan 1
Perusahaan belum melakukan proses pelaporan atas penerapan standar dan prosedur yang
sesuai dengan hukum dan regulasi tentang kebutuhan eksternal.
Rekomendasi
Perusahaan sebaiknya melakukan pelaporan terhadap penerapan standar dan prosedur yang
telah disesuaikan dengan hukum dan regulasi.
15
Temuan 2
Perusahaan belum memperoleh konfirmasi peraturan yang sesuai dengan kebijakan, standar,
dan prosedur yang ditetapkan oleh perusahaan. Perusahaan juga belum melakukan pelaporan
atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu.
Rekomendasi
Perusahaan sebaiknya berusaha untuk memperoleh konfirmasi peraturan yang sesuai dengan
kebijakan, standar, dan prosedur yang ditetapkan oleh perusahaan. Serta melakukan pelaporan
atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu.
4. Kesimpulan
Berdasarkan hasil evaluasi yang telah dilakukan terhadap pengendalian sistem informasi
pada PT. Viesta Mandiri Jaya dengan menggunakan standar audit sistem informasi CobIT pada
internal perspective, maka disimpulkan bahwa sistem informasi persediaan pada PT. Viesta
Mandiri Jaya masih pada tahap perkembangan, sehingga terdapat beberapa kelemahan-kelemahan
seperti ketergantungan kepada individu tertentu dan belum adanya dokumentasi atas kebijakan
dan prosedur. Namun, pengelolaan keamanan teknologi informasi pada PT. Viesta Mandiri Jaya
sudah cukup baik, hal ini dapat dilihat dari adanya penerapan user account, antivirus dan
membatasi hak akses pengguna serta memperhatikan lingkungan fisik teknologi informasi.
Pengendalian sistem informasi persediaan pada PT. Viesta Mandiri Jaya berada pada level 2
berdasarkan perhitungan maturity level. Level 2 berarti tingkat kematangan sistem yang dimiliki
perusahaan bersifat Repeatable but Intuitive, dimana proses telah menggunakan pola yang sama,
namun prosedurnya belum distandarisasi, didokumentasikan dan dikomunikasikan.
1
CONTROL EVALUATION OF INVENTORY INFORMATION SYSTEM
AT PT. VIESTA MANDIRI JAYA
Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia
Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia
and
Silvi Binus University, Jakarta, DKI Jakarta, Indonesia
Abstract The purpose of the research is for evaluating inventory information system control at PT. Viesta Mandiri Jaya and identifying the weakness of the inventory information system based on the internal perspective. In addition, we also assess the maturity level of company based on Maturity Model CobIT. The research method that we used is literature study method and field study method. Literature study method is a method that is done by reading and learning the books and others resources to support the research. Field study method is a method that is done by observation, interview, questionnaire, and checklist. The result from the research is problem findings and recommendations which are constructed into evaluation report. It also provides the description about the information system control and the weakness of the information system control. From the evaluation, it is discovered that the inventory information system control at PT. Viesta Mandiri Jaya is able to support the corporation’s performance entirely. However, there are some weaknesses from the information systems. At this time, the maturity level of corporation is at level 2 Repeatable but Intuitive based on Maturity Model CobIT. Keywords: Control, Evaluation, Information System, Inventory
2
1. Introduction
1.1 Background
The rapid development of information system has affected all aspects of human life,
especially in the company's operations in order to compete in a competitive business
environment. To support its operations, the company requires relevant and accurate information.
Today, not a few companies that make the application of computerized information system to
improve effectiveness and efficiency in managing enterprise information.
By using the strategic information system, companies not only improve the effectiveness and
efficiency but also will gain a competitive advantage, especially in acquiring and managing the
timely and accurate information to facilitate decision-making process. However, the use of
information technology should be accompanied by controls to ensure that existing information
system in accordance with established procedures to support the achievement of corporate goals.
Therefore, the information system used should have a mechanism of internal control. The
application of this control mechanism can be realized by performing periodic evaluation.
Evaluation becomes indispensable to assess the performance of information system. This is to
avoid the occurrence of errors whether caused by users on the systems and the information that
will impact on company performance.
1.2 Scope
The scope of research includes the evaluation and calculation of the Maturity Level on
inventory information system at PT. Viesta Mandiri Jaya. The discussion is including:
1. Evaluation of inventory information system at PT. Viesta Mandiri Jaya using the COBIT
(Control Objectives for Information and Related Technology) theory as the standard of
information system evaluation.
3
2. IT Balanced Scorecard Perspective is based on the theory of COBIT version 4.1 by using
the internal perspective.
3. The calculation of the maturity level of control at PT. Viesta Mandiri Jaya based on
Information Systems Control Journal, Vol. 3, 2003: The COBIT Maturity Model in a
Vendor Evaluation Case by Andrea Pederiva.
2. Literature Review
According to Gondodiyoto (2009, p163), COBIT is a set of documentation of best
practices for IT governance that is used to help the auditor, the user, and management, to bridge
the gap between business risks, control needs and technical issues of IT.
COBIT provides guidelines oriented to the business and therefore business process owners and
managers, including auditors and users, are expected to use the guidelines as well. According to
Gondodiyoto (2007, p279), COBIT framework consists of several guidelines:
1. Plan and Organise (PO)
This domain covers strategy and tactics, and concerns the identification of the way IT can
best contribute to the achievement of the business objectives. The realisation of the strategic
vision needs to be planned, communicated and managed for different perspectives. A proper
organisation as well as technological infrastructure should be put in place. This domain
typically addresses the following management questions:
• Are IT and the business strategy aligned?
• Is the enterprise achieving optimum use of its resources?
• Does everyone in the organisation understand the IT objectives?
• Are IT risks understood and being managed?
• Is the quality of IT systems appropriate for business?
4
2. Acquire and Implement (AI)
To realise the IT strategy, IT solutions need to be identified, developed or acquired, as well
as implemented and integrated into the business process. In addition, changes in and
maintenance of existing systems are covered by this domain to make sure the solutions
continue to meet business objectives. This domain typically addresses the following
management questions:
• Are new projects likely to deliver solutions that meet business needs?
• Are new projects likely to be delivered on time and within budget?
• Will the new systems work properly when implemented?
• Will changes be made without upsetting current business operations?
3. Deliver and Support (DS)
This domain is concerned with the actual delivery of required services, which includes
service delivery, management of security and continuity, service support for users, and
management of data and operational facilities. It typically addresses the following
management questions:
• Are IT services being delivered in line with business priorities?
• Are IT costs optimised?
• Is the workforce able to use the IT systems productively and safely?
• Are adequate confidentiality, integrity and availability in place for information
security?
4. Monitor and Evaluate (ME)
All IT processes need to be regularly assessed over time for their quality and compliance
with control requirements. This domain addresses performance management, monitoring of
internal control, regulatory compliance and governance. It typically addresses
5
the following management questions:
• Is IT’s performance measured to detect problems before it is too late?
• Does management ensure that internal controls are effective and efficient?
• Can IT performance be linked back to business goals?
• Are adequate confidentiality, integrity and availability controls in place for
information security?
Picture 2.1 CobIT Processes Defined Within the Four Domains
Resource : ITGI-CobIT 4.1th edition (2007, p26)
6
2.2 Maturity Model
The COBIT Maturity Model is an IT governance tool used to measure how well
developed the management processes are with respect to internal controls. The maturity model
allows an organization to grade itself from nonexistent (0) to optimized (5). Such capability can
be exploited by auditors to help man-agement fulfill its IT governance responsibilities, for
example: exercise effective responsibility over the use of IT just like any other part of the
business.
A fundamental feature of the maturity model is that it allows an organization to measure
as-is maturity levels, and define to-be maturity levels as well as gaps to fill. As a result, an
organization can discover practical improvements to the system of internal controls of IT.
However, maturity levels are not a goal, but rather they are a means to evaluate the adequa-cy of
the internal controls with respect to company business objectives.
COBIT maturity model has six levels of assessment as shown below:
Gambar 2.2 Maturity Model pada CobIT
Sumber : ITGI CobIT 4.1th edition (2007, p18)
Each process on the scale of assessments is based on the COBIT maturity model
descriptions are generally as follows:
7
1. Level 0 Non-existent
Complete lack of any recognisable processes. The enterprise has not even recognised that
there is an issue to be addressed.
2. Level 1 Initial/Ad Hoc
There is evidence that the enterprise has recognised that the issues exist and need to be
addressed. There are, however, no standardised processes; instead, there are ad hoc
approaches that tend to be applied on an individual or case-by-case basis. The overall
approach to management is disorganised.
3. Level 2 Repeatable but Intuitive
Processes have developed to the stage where similar procedures are followed by different
people undertaking the same task. There is no formal training or communication of standard
procedures, and responsibility is left to the individual. There is a high degree of reliance on
the knowledge of individuals and, therefore, errors are likely.
4. Level 3 Defined Process
Procedures have been standardised and documented, and communicated through training. It
is mandated that these processes should be followed; however, it is unlikely that deviations
will be detected. The procedures themselves are not sophisticated but are the formalisation
of existing practices.
5. Level 4 Managed and Measurable
Management monitors and measures compliance with procedures and takes action where
processes appear not to be working effectively. Processes are under constant improvement
and provide good practice. Automation and tools are used in a limited or fragmented way.
6. Level 5 Optimised
Processes have been refined to a level of good practice, based on the results of continuous
improvement and maturity modelling with other enterprises. IT is used in an integrated way
8
to automate the workflow, providing tools to improve quality and effectiveness, making the
enterprise quick to adapt.
According to Pederiva (2003), "The COBIT Maturity Model in a Vendor Evaluation
Case", Information Systems Control Journal, Vol. 3, the calculation of the maturity level used a
questionnaire based on the criteria of COBIT Maturity Level. The questionnaire used consisted
of question and four answers, each of which has a value as follows:
Compliance Level Numeric Values
Agreement with Statement Compliance Value
Not at all 0
A little 0.33
Quite a lot 0.66
Completely 1
Table 2.1 Compliance Level Numeric Values
Resource : Pederiva (2003, p2)
3. Discussion
3.1 Company Profile
PT. Viesta Mandiri Jaya is a company that is established by Mr. Gunawan Kuswadi in
August 8, 2005. It is located at Jl. Husein Sastranegara No 25, Tangerang. PT. Viesta Jaya
Mandiri is engaged in the distribution of brand sandals and shoes with Vi & Vie.
9
3.2 Organizational Structure
3.3 Evaluation Result
3.3.1 Calculation Result of Questioner
1. Domain Plan and Organize (PO)
11
4. Domain Monitor and Evaluate (ME)
PT. Viesta Mandiri Jaya has set a target by 3:00. From the target, it is expected to PT.
Viesta Mandiri Jaya can satisfy even increase the value of the target that is set. Here is a table of
calculation results of questioner based on the current status of the company, the company’s target
and gap between both of them.
Company’s Current Status
Questioner Average Company‘s Target Gap
PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50
Questioner Average PO+AI+DS+ME
4 = 9.21 = 2.30
4
PO = 3.00 Gap for PO 0.44
Average PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93
AI = 3.00 Gap for AI 0.69
12
AI7 = 2.43 Average AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55
DS = 3.00 Gap for DS 0.57
Average DS 2.43 ME1 = 2.15 ME2 = 1.85 ME3 = 1.73 ME4 = 1.91
ME = 3.00 Gap forME 1.09
Average ME 1.91 Total Gap Average 0.70
Table 3.1 Gap between The Company ‘sTarget and The Company’s Current Status
From the table above it is known that currently the company has not achieved the set
targets. There is gap between the company's current status with a target that is equal to 0.70.
3.3.2 Checklist Result
Based on the evaluation result, there are positive and negative findings. Here is the result
of the implementation of negative evaluation and the recommendations on the existing findings:
1. Domain Plan and Organize (PO)
Finding 1
The budget for the is not priority for the company.
Recommendation
Company should increase the priority on information technology cost in the company's
budget plan.
13
Finding 2
Policies and procedures at the company still has not been documented and communicated
to all personnel.
Recommendation
Companies should make documentation of policies and procedures and communicated to
all personnel.
Finding 3
The company still has dependency on particular individual.
Recommendation
Companies should minimize reliance on certain individual by doing the transition to the
knowledge and documentation of knowledge.
2. Domain Acquire and Implement (AI)
Finding 1
The company has not made the risk analysis report related to company business needs.
Recommendation
Company should conduct risk analysis related to reporting to the company's business
needs.
Finding 2
The company has established procedures and standards for changes to applications,
procedures, processes and system, but have not done the documentation of the procedures
and standards.
14
Recommendation
We recommend that company to do documentation of the procedures and standards
changes in the application, procedures, processes and system.
3. Domain Deliver and Support (DS)
Finding 1
The company has not made the performance and capacity planning information technology
resources for the future is still not organized.
Recommendation
We recommend that company to conduct capacity planning and performance of
information technology resources for the future in an organized manner.
Finding 2
The company has not made a review of the integrity of configuration data.
Recommendation
Company should conduct a review of the integrity of configuration data to improve
operations management.
Findings 3
The company has not made oversight of hardware and software on a regular basis.
Recommendation
The company should carry out supervision of hardware and software regularly.
15
4. Domain Monitor and Evaluate (ME)
Finding 1
The company has not made the process of reporting on the implementation of standards and
procedures in accordance with the laws and regulations on external demand.
Recommendation
Companies should be reporting on the implementation of standards and procedures that have
been adapted to the laws and regulations.
Finding 2
The company has not obtained confirmation of regulations in accordance with policies,
standards, and procedures established by the company. The company also has not made the
reporting of performance measurement information technology to accurately and timely.
Recommendation
The company should seek to obtain confirmation of regulations in accordance with policies,
standards, and procedures established by the company. And reporting on information
technology performance measurements are accurate and timely.
16
4. Conclusion
Based on the result of the evaluation that is done to control the information system at PT.
Viesta Mandiri Jaya using COBIT information systems auditing standard on internal perspective,
it was concluded that the inventory information system at PT. Viesta Mandiri Jaya still at the
stage of development, so there are some weaknesses such as dependence on particular
individuals and the absence of documentation of policies and procedures. However, information
technology security management at PT. Viesta Mandiri Jaya is good enough, it can be seen from
the application of user accounts, antivirus and restrict user access rights and with regard to the
physical environment of information technology. Inventory control information system at PT.
Viesta Mandiri Jaya is at maturity level 2 is based on the calculation level. Level 2 means the
level of maturity of the company's systems are Repeatable but Intuitive, where the process has
used the same pattern, but the procedure has not been standardized, documented and
communicated.
17
REFERENCES
IT Governance Institute. (2007). CobIT 4.1th ed. Framework, Control Objectives, Management
Guidelines and Maturity Model. ITGI, USA.
Pederiva, Andrea. (2003). The CobIT Maturity Model in a Vendor Evaluation Case. Infomation
Systems Control Journal, 3.
Sanyoto Gondodiyoto. (2009). Pengendalian Fungsi Audit Sistem Informasi + Contoh Audit
Charter. Edisi 2. Mitra Wacana Media, Jakarta.
Sanyoto Gondodiyoto. (2007). Audit Sistem Informasi + Pendekatan CobIT. Edisi Revisi. Mitra
Wacana Media, Jakarta.