EVALUASI PENGENDALIAN SISTEM ... -...

1

EVALUASI PENGENDALIAN SISTEM INFORMASI PERSEDIAAN

PADA PT. VIESTA MANDIRI JAYA

Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia

Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia

dan

Silvi Binus University, Jakarta, DKI Jakarta, Indonesia

Abstrak

Penggunaan sistem informasi dalam kegiatan operasional perusahaan sangat berpengaruh agar perusahaan mampu bersaing dalam lingkungan bisnis yang kompetitif. Dengan adanya penggunaan sistem informasi dalam kegiatan operasional maka diperlukan juga adanya evaluasi terhadap sistem informasi yang berjalan untuk mengetahui seberapa jauh hasil yang telah dicapai dibandingkan dengan standar atau tujuan yang ingin dicapai oleh perusahaan. Tujuan dari penelitian ini adalah untuk melakukan evaluasi pengendalian sistem informasi persediaan yang sedang berjalan dan mengidentifikasikan kelemahan yang ada pada PT. Viesta Mandiri Jaya berdasarkan internal perspective serta menilai tingkat kematangan perusahaan menurut Maturity Model CobIT. Metode penelitian yang digunakan oleh penulis adalah metode studi kepustakaan dan metode studi lapangan. Hasil yang dicapai dalam penelitian ini adalah hasil evaluasi berupa temuan masalah dan rekomendasi yang dijadikan sebagai laporan evaluasi, dan memberikan gambaran mengenai pengendalian yang telah dilakukan dan kelemahan dari pengendalian tersebut. Dari evaluasi yang sudah dilakukan, diketahui bahwa sistem informasi persediaan pada PT. Viesta Mandiri Jaya mampu mendukung kinerja perusahaan secara keseluruhan, namun masih terdapat kelemahan-kelemahan dalam sistem. Pada saat ini, tingkat kematangan perusahaan berada pada level 2 Repeatable but Intuitive menurut Maturity Model CobIT.

Kata kunci : Evaluasi, Pengendalian, Persediaan, Sistem Informasi

2

1. Pendahuluan

1.1 Latar Belakang

Perkembangan sistem informasi yang pesat telah mempengaruhi seluruh aspek kehidupan

manusia, terutama pada kegiatan operasional perusahaan agar mampu bersaing dalam lingkungan

bisnis yang kompetitif. Untuk mendukung kegiatan operasionalnya, perusahaan membutuhkan

informasi yang relevan dan akurat. Sehingga dewasa ini, tidak sedikit perusahaan yang melakukan

penerapan sistem informasi terkomputerisasi demi meningkatkan efektifitas dan efisiensi dalam

mengelola informasi perusahaan.

Dengan pengunaan sistem informasi yang strategis, perusahaan tidak hanya meningkatkan

efektifitas dan efisiensi tetapi juga akan memperoleh keuntungan kompetitif terutama dalam

memperoleh dan mengelola informasi yang tepat dan akurat untuk mempermudah proses

pengambilan keputusan. Akan tetapi, penggunaan teknologi informasi ini harus disertai dengan

pengendalian untuk memastikan sistem informasi yang ada sesuai dengan prosedur yang telah

ditetapkan untuk mendukung pencapaian tujuan perusahaan.

Oleh karena itu, sistem informasi yang digunakan sebaiknya memiliki mekanisme

pengendalian internal (internal control). Penerapan mekanisme pengendalian ini dapat

diwujudkan dengan melakukan evaluasi secara periodik. Evaluasi menjadi sangat dibutuhkan

untuk menilai kinerja suatu sistem informasi. Hal ini untuk menghindari terjadinya kesalahan baik

yang disebabkan oleh pengguna maupun pada perangkat sistem informasi tersebut yang akan

berdampak pada kinerja perusahaan.

1.2 Ruang Lingkup

Ruang lingkup dari penelitian adalah mencakup evaluasi dan perhitungan Maturity Level

pada sistem informasi persediaan pada PT. Viesta Mandiri Jaya. Adapun pembahasan yang

dilakukan meliputi sebagai berikut:

3

1. Evaluasi terhadap sistem informasi persediaaan PT. Viesta Mandiri Jaya menggunakan

pendekatan CobIT (Control Objectives for Information and Related Technology) sebagai

standar evaluasi sistem informasi.

2. Perspective IT Balance Scorecard berdasarkan teori CobIT versi 4.1 dengan menggunakan

internal perspective.

3. Perhitungan maturity level pengendalian pada PT. Viesta Mandiri Jaya berdasarkan

Information Systems Control Journal vol. 3 tahun 2003: The CobIT Maturity Model in a

Vendor Evaluation Case oleh Andrea Pederiva.

2. Landasan Teori

2.1 CobIT (Control Objectives for Information and Related Technology)

Menurut Gondodiyoto (2009, p163), CobIT adalah sekumpulan dokumentasi best

practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen,

untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT.

CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu

business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat

memanfaatkan guidelines dengan baik. Menurut Gondodiyoto (2007, p279), kerangka kerja CobIT

terdiri dari beberapa arahan (guidelines), yakni :

1. Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control objectives) yang

tercermin dalam 4 domain, yaitu:

a. Perencanaan dan Organisasi (Planning and Organization)

Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi teknologi

informasi yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan

4

bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan,

dan diatur pelaksanaannya (dari berbagai perspektif).

b. Perolehan dan Implementasi (Acquisition and Implementation)

Domain ini untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan

teknologi informasi, diidentifikasi, dikembangkan atau diimplementasikan secara

terpadu dalam proses bisnis perusahaan.

c. Penyerahan dan Pendukung (Delivery and Support)

Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi

terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual

atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).

d. Monitoring and Evaluating

Domain ini mencakup semua proses teknologi informasi yang perlu dinilai secara

berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai dan

kelengkapannya berdasarkan pada syarat kontrol internal yang baik.

2. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk

membantu para auditor dalam memberikan management assurance dan saran perbaikan.

3. Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan.

5

Gambar 2.1 CobIT Processes Defined Within the Four Domains

Sumber : ITGI-CobIT 4.1th edition (2007, p26)

2.2 Maturity Model

Maturity model pada CobIT digunakan untuk menentukan pilihan strategi yang akan

digunakan dan melakukan perbandingan dengan standar yang ada. Maturity model pada CobIT

digunakan untuk membantu manajemen dalam mengidentifikasi hal-hal sebagai berikut:

6

1. Kinerja yang sebenarnya pada organisasi, untuk melihat posisi organisasi saat ini

2. Status industri pada saat ini, sebagai bahan pertimbangan

3. Target perusahaan untuk pengembangan lebih lanjut, yaitu menyatakan level yang ingin

dicapai oleh perusahaan

4. Pertumbuhan yang diperlukan saat ini dan yang akan datang

Maturity model pada CobIT terdapat enam level penilaian seperti gambar berikut:

Gambar 2.2 Maturity Model pada CobIT

Sumber : ITGI CobIT 4.1th edition (2007, p18)

Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model

secara umum seperti di bawah ini:

1. Level 0 Non-existent

Tahap yang paling awal, masih pemula (belum mapan). Proses manajemen tidak ada sama

sekali, komputerisasi dilaksanakan secara ilmiah, tidak diimplementasikan berdasarkan suatu

metodologi yang tepat. Misalnya perusahaan menggunakan komputer tetapi hanya untuk

pengetikan atau pembuatan tabel-tabel laporan yang belum terarah dan dilakukan secara

amatiran. Artinya sudah menggunakan komputer, tetapi belum menjalankan sistem berbasis

komputerisasi.

7

2. Level 1 Initial/Ad Hoc

Pada tahap ini sudah mulai ada kegiatan penyusunan sistem komputerisasi yang lebih

terorganisir/terarah, tetapi perencanaan, perancangan, dan proses masih bersifat ad-hoc dan

tidak terorganisir dengan baik.

3. Level 2 Repeatable but Intuitive

Pada tahap ini, proses perencanaan, perancangan, dan implementasi sistem berbasis

komputer telah menemukan pola yang lebih terarah, berjalan dengan pola yang sama (mulai

mengenal “metodologi” pengembangan sistem).

4. Level 3 Defined Process

Pada tahap ini, seluruh proses telah didokumentasikan dan telah dikomunikasikan dan

dilaksanakan berdasarkan metoda pengembangan sistem komputerisasi yang baik.

5. Level 4 Managed and Measurable

Pada tahap ini, proses komputerisasi telah dapat dimonitor dan terukur dengan baik,

manajemen proyek pengembangan sistem komputerisasi sudah dijalankan dengan lebih

terorganisir.

6. Level 5 Optimised

Pada tahap ini, best practices telah diikuti dan diotomatisasi pada sistem berdasarkan proses

yang terencana, terorganisir dan menggunakan metodologi yang tepat.

Menurut Pederiva (2003), “The CobIT Maturity Model in a Vendor Evaluation Case”,

Information Systems Control Journal vol. 3, perhitungan maturity level menggunakan kuesioner

yang berdasarkan pada kriteria Maturity Level CobIT. Kuesioner yang digunakan terdiri atas

pertanyaan serta 4 jawaban yang masing-masing memiliki nilai sebagai berikut:

8

Compliance Level Numeric Values

Agreement with Statement Compliance Value

Not at all 0

A little 0.33

Quite a lot 0.66

Completely 1

Tabel 2.1 Compliance Level Numeric Values

Sumber : Pederiva (2003, p2)

3. Pembahasan

3.1 Gambaran Umum Perusahaan

PT. Viesta Mandiri Jaya adalah perusahaan yang didirikan oleh Bapak Kuswadi Gunawan

pada tanggal 8 Agustus 2005 yang berlokasi di Jl. Husein Sastranegara No 25, Tangerang. PT.

Viesta Mandiri Jaya bergerak di bidang distribusi sandal dan sepatu dengan merek Vi & Vie.

3.2 Struktur Organisasi Perusahaan

9

3.3 Hasil Evaluasi

3.3.1 Hasil Perhitungan Kuesioner

1. Domain Plan and Organize (PO)

2. Domain Acquire and Implement (AI)

10

3. Domain Deliver and Support (DS)

4. Domain Monitor and Evaluate (ME)

11

PT. Viesta Mandiri Jaya menetapkan target pada perusahaannya sebesar 3.00. Dari target

tersebut diharapkan PT. Viesta Mandiri Jaya dapat memenuhi bahkan meningkatkan nilai dari

target yang ditetapkan. Berikut ini merupakan tabel dari hasil perhitungan kuesioner, berdasarkan

status perusahaan saat ini, target perusahaan dan selisihnya (gap).

Sekarang Rata-rata Kuesioner Target Perusahaan Gap

PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50

Rata-rata Kuesioner PO+AI+DS+ME

4 = 9.21 = 2.30

4

PO = 3.00 Gap pada PO 0.44

Rata-rata PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93 AI7 = 2.43

AI = 3.00 Gap pada AI 0.69

Rata-rata AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55

DS = 3.00 Gap pada DS 0.57

Rata-rata DS 2.43 ME1 = 2.15 ME2 = 1.85 ME3 = 1.73 ME4 = 1.91

ME = 3.00 Gap pada ME 1.09

Rata-rata ME 1.91 Total Gap rata-rata 0.70

Tabel 3.1 Gap antara Target dan Status Perusahaan

12

Dari tabel di atas maka dapat diketahui bahwa saat ini perusahaan belum mencapai target

yang telah ditetapkan. Terdapat gap antara status perusahaan saat ini dengan targetnya yaitu

sebesar 0.70.

3.3.2 Hasil Checklist

Berdasarkan evaluasi yang dilakukan terdapat hasil berupa temuan-temuan yang bersifat

positif dan negatif. Berikut adalah hasil temuan dari pelaksanaan evaluasi yang bersifat negatif

beserta rekomendasi atas temuan-temuan yang ada:


Temuan 1

Anggaran biaya teknologi infomasi pada perusahaan bukan merupakan prioritas utama bagi

perusahaan.

Rekomendasi

Perusahaan sebaiknya lebih memprioritaskan biaya teknologi informasi pada rencana

anggaran perusahaan.

Temuan 2

Kebijakan dan prosedur pada perusahaan masih belum terdokumentasi dan dikomunikasikan

kepada seluruh personil.

Rekomendasi

Perusahaan sebaiknya melakukan pendokumentasian terhadap kebijakan dan prosedur dan

dikomunikasikan kepada seluruh personil.

Temuan 3

Perusahaan masih memiliki ketergantungan terhadap individu tertentu.

13

Rekomendasi

Perusahaan sebaiknya meminimalkan ketergantungan terhadap individu tertentu dengan

melakukan peralihan pengetahuan dan dokumentasi pengetahuan.


Temuan 1

Perusahaan belum melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis

perusahaan.

Rekomendasi

Perusahaan sebaiknya melakukan pelaporan terhadap analisis resiko terkait kebutuhan bisnis

perusahaan.

Temuan 2

Perusahan telah menetapkan prosedur dan standar terhadap perubahan pada aplikasi,

prosedur, proses dan sistem, tetapi belum dilakukan dokumentasi terhadap prosedur dan

standar.

Rekomendasi

Sebaiknya perusahaan melakukan dokumentasi terhadap prosedur dan standar perubahan pada

aplikasi, prosedur, proses dan sistem.


Temuan 1

Perusahaan belum melakukan perencanaan kinerja dan kapasitas sumber daya teknologi

informasi untuk ke depannya masih belum terorganisir.

14

Rekomendasi

Sebaiknya perusahaan melakukan perencanaan kinerja dan kapasitas sumber daya teknologi

informasi untuk ke depannya secara terorganisir.

Temuan 2

Perusahaan belum melakukan peninjauan terhadap integritas data konfigurasi.

Rekomendasi

Sebaiknya perusahaan melakukan peninjauan terhadap integritas data konfigurasi untuk

meningkatkan operasional manajemen.

Temuan 3

Perusahaan belum melakukan pengawasan terhadap hardware dann software secara rutin.

Rekomendasi

Perusahaan sebaiknya melakukan pengawasan terhadap hardware dann software secara rutin.


Temuan 1

Perusahaan belum melakukan proses pelaporan atas penerapan standar dan prosedur yang

sesuai dengan hukum dan regulasi tentang kebutuhan eksternal.

Rekomendasi

Perusahaan sebaiknya melakukan pelaporan terhadap penerapan standar dan prosedur yang

telah disesuaikan dengan hukum dan regulasi.

15

Temuan 2

Perusahaan belum memperoleh konfirmasi peraturan yang sesuai dengan kebijakan, standar,

dan prosedur yang ditetapkan oleh perusahaan. Perusahaan juga belum melakukan pelaporan

atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu.

Rekomendasi

Perusahaan sebaiknya berusaha untuk memperoleh konfirmasi peraturan yang sesuai dengan

kebijakan, standar, dan prosedur yang ditetapkan oleh perusahaan. Serta melakukan pelaporan

atas pengukuran kinerja teknologi informasi secara akurat dan tepat waktu.

4. Kesimpulan

Berdasarkan hasil evaluasi yang telah dilakukan terhadap pengendalian sistem informasi

pada PT. Viesta Mandiri Jaya dengan menggunakan standar audit sistem informasi CobIT pada

internal perspective, maka disimpulkan bahwa sistem informasi persediaan pada PT. Viesta

Mandiri Jaya masih pada tahap perkembangan, sehingga terdapat beberapa kelemahan-kelemahan

seperti ketergantungan kepada individu tertentu dan belum adanya dokumentasi atas kebijakan

dan prosedur. Namun, pengelolaan keamanan teknologi informasi pada PT. Viesta Mandiri Jaya

sudah cukup baik, hal ini dapat dilihat dari adanya penerapan user account, antivirus dan

membatasi hak akses pengguna serta memperhatikan lingkungan fisik teknologi informasi.

Pengendalian sistem informasi persediaan pada PT. Viesta Mandiri Jaya berada pada level 2

berdasarkan perhitungan maturity level. Level 2 berarti tingkat kematangan sistem yang dimiliki

perusahaan bersifat Repeatable but Intuitive, dimana proses telah menggunakan pola yang sama,

namun prosedurnya belum distandarisasi, didokumentasikan dan dikomunikasikan.

1

CONTROL EVALUATION OF INVENTORY INFORMATION SYSTEM

AT PT. VIESTA MANDIRI JAYA

Ferlian Anggreyny Binus University, Jakarta, DKI Jakarta, Indonesia

Meilisa Binus University, Jakarta, DKI Jakarta, Indonesia

and

Silvi Binus University, Jakarta, DKI Jakarta, Indonesia

Abstract The purpose of the research is for evaluating inventory information system control at PT. Viesta Mandiri Jaya and identifying the weakness of the inventory information system based on the internal perspective. In addition, we also assess the maturity level of company based on Maturity Model CobIT. The research method that we used is literature study method and field study method. Literature study method is a method that is done by reading and learning the books and others resources to support the research. Field study method is a method that is done by observation, interview, questionnaire, and checklist. The result from the research is problem findings and recommendations which are constructed into evaluation report. It also provides the description about the information system control and the weakness of the information system control. From the evaluation, it is discovered that the inventory information system control at PT. Viesta Mandiri Jaya is able to support the corporation’s performance entirely. However, there are some weaknesses from the information systems. At this time, the maturity level of corporation is at level 2 Repeatable but Intuitive based on Maturity Model CobIT. Keywords: Control, Evaluation, Information System, Inventory

2

1. Introduction

1.1 Background

The rapid development of information system has affected all aspects of human life,

especially in the company's operations in order to compete in a competitive business

environment. To support its operations, the company requires relevant and accurate information.

Today, not a few companies that make the application of computerized information system to

improve effectiveness and efficiency in managing enterprise information.

By using the strategic information system, companies not only improve the effectiveness and

efficiency but also will gain a competitive advantage, especially in acquiring and managing the

timely and accurate information to facilitate decision-making process. However, the use of

information technology should be accompanied by controls to ensure that existing information

system in accordance with established procedures to support the achievement of corporate goals.

Therefore, the information system used should have a mechanism of internal control. The

application of this control mechanism can be realized by performing periodic evaluation.

Evaluation becomes indispensable to assess the performance of information system. This is to

avoid the occurrence of errors whether caused by users on the systems and the information that

will impact on company performance.

1.2 Scope

The scope of research includes the evaluation and calculation of the Maturity Level on

inventory information system at PT. Viesta Mandiri Jaya. The discussion is including:

1. Evaluation of inventory information system at PT. Viesta Mandiri Jaya using the COBIT

(Control Objectives for Information and Related Technology) theory as the standard of

information system evaluation.

3

2. IT Balanced Scorecard Perspective is based on the theory of COBIT version 4.1 by using

the internal perspective.

3. The calculation of the maturity level of control at PT. Viesta Mandiri Jaya based on

Information Systems Control Journal, Vol. 3, 2003: The COBIT Maturity Model in a

Vendor Evaluation Case by Andrea Pederiva.

2. Literature Review

According to Gondodiyoto (2009, p163), COBIT is a set of documentation of best

practices for IT governance that is used to help the auditor, the user, and management, to bridge

the gap between business risks, control needs and technical issues of IT.

COBIT provides guidelines oriented to the business and therefore business process owners and

managers, including auditors and users, are expected to use the guidelines as well. According to

Gondodiyoto (2007, p279), COBIT framework consists of several guidelines:

1. Plan and Organise (PO)

This domain covers strategy and tactics, and concerns the identification of the way IT can

best contribute to the achievement of the business objectives. The realisation of the strategic

vision needs to be planned, communicated and managed for different perspectives. A proper

organisation as well as technological infrastructure should be put in place. This domain

typically addresses the following management questions:

• Are IT and the business strategy aligned?

• Is the enterprise achieving optimum use of its resources?

• Does everyone in the organisation understand the IT objectives?

• Are IT risks understood and being managed?

• Is the quality of IT systems appropriate for business?

4

2. Acquire and Implement (AI)

To realise the IT strategy, IT solutions need to be identified, developed or acquired, as well

as implemented and integrated into the business process. In addition, changes in and

maintenance of existing systems are covered by this domain to make sure the solutions

continue to meet business objectives. This domain typically addresses the following

management questions:

• Are new projects likely to deliver solutions that meet business needs?

• Are new projects likely to be delivered on time and within budget?

• Will the new systems work properly when implemented?

• Will changes be made without upsetting current business operations?

3. Deliver and Support (DS)

This domain is concerned with the actual delivery of required services, which includes

service delivery, management of security and continuity, service support for users, and

management of data and operational facilities. It typically addresses the following

management questions:

• Are IT services being delivered in line with business priorities?

• Are IT costs optimised?

• Is the workforce able to use the IT systems productively and safely?

• Are adequate confidentiality, integrity and availability in place for information

security?

4. Monitor and Evaluate (ME)

All IT processes need to be regularly assessed over time for their quality and compliance

with control requirements. This domain addresses performance management, monitoring of

internal control, regulatory compliance and governance. It typically addresses

5

the following management questions:

• Is IT’s performance measured to detect problems before it is too late?

• Does management ensure that internal controls are effective and efficient?

• Can IT performance be linked back to business goals?

• Are adequate confidentiality, integrity and availability controls in place for

information security?

Picture 2.1 CobIT Processes Defined Within the Four Domains

Resource : ITGI-CobIT 4.1th edition (2007, p26)

6

2.2 Maturity Model

The COBIT Maturity Model is an IT governance tool used to measure how well

developed the management processes are with respect to internal controls. The maturity model

allows an organization to grade itself from nonexistent (0) to optimized (5). Such capability can

be exploited by auditors to help man-agement fulfill its IT governance responsibilities, for

example: exercise effective responsibility over the use of IT just like any other part of the

business.

A fundamental feature of the maturity model is that it allows an organization to measure

as-is maturity levels, and define to-be maturity levels as well as gaps to fill. As a result, an

organization can discover practical improvements to the system of internal controls of IT.

However, maturity levels are not a goal, but rather they are a means to evaluate the adequa-cy of

the internal controls with respect to company business objectives.

COBIT maturity model has six levels of assessment as shown below:

Gambar 2.2 Maturity Model pada CobIT

Sumber : ITGI CobIT 4.1th edition (2007, p18)

Each process on the scale of assessments is based on the COBIT maturity model

descriptions are generally as follows:

7

1. Level 0 Non-existent

Complete lack of any recognisable processes. The enterprise has not even recognised that

there is an issue to be addressed.

2. Level 1 Initial/Ad Hoc

There is evidence that the enterprise has recognised that the issues exist and need to be

addressed. There are, however, no standardised processes; instead, there are ad hoc

approaches that tend to be applied on an individual or case-by-case basis. The overall

approach to management is disorganised.

3. Level 2 Repeatable but Intuitive

Processes have developed to the stage where similar procedures are followed by different

people undertaking the same task. There is no formal training or communication of standard

procedures, and responsibility is left to the individual. There is a high degree of reliance on

the knowledge of individuals and, therefore, errors are likely.

4. Level 3 Defined Process

Procedures have been standardised and documented, and communicated through training. It

is mandated that these processes should be followed; however, it is unlikely that deviations

will be detected. The procedures themselves are not sophisticated but are the formalisation

of existing practices.

5. Level 4 Managed and Measurable

Management monitors and measures compliance with procedures and takes action where

processes appear not to be working effectively. Processes are under constant improvement

and provide good practice. Automation and tools are used in a limited or fragmented way.

6. Level 5 Optimised

Processes have been refined to a level of good practice, based on the results of continuous

improvement and maturity modelling with other enterprises. IT is used in an integrated way

8

to automate the workflow, providing tools to improve quality and effectiveness, making the

enterprise quick to adapt.

According to Pederiva (2003), "The COBIT Maturity Model in a Vendor Evaluation

Case", Information Systems Control Journal, Vol. 3, the calculation of the maturity level used a

questionnaire based on the criteria of COBIT Maturity Level. The questionnaire used consisted

of question and four answers, each of which has a value as follows:

Compliance Level Numeric Values

Agreement with Statement Compliance Value

Not at all 0

A little 0.33

Quite a lot 0.66

Completely 1

Table 2.1 Compliance Level Numeric Values

Resource : Pederiva (2003, p2)

3. Discussion

3.1 Company Profile

PT. Viesta Mandiri Jaya is a company that is established by Mr. Gunawan Kuswadi in

August 8, 2005. It is located at Jl. Husein Sastranegara No 25, Tangerang. PT. Viesta Jaya

Mandiri is engaged in the distribution of brand sandals and shoes with Vi & Vie.

9

3.2 Organizational Structure

3.3 Evaluation Result

3.3.1 Calculation Result of Questioner


10



11


PT. Viesta Mandiri Jaya has set a target by 3:00. From the target, it is expected to PT.

Viesta Mandiri Jaya can satisfy even increase the value of the target that is set. Here is a table of

calculation results of questioner based on the current status of the company, the company’s target

and gap between both of them.

Company’s Current Status

Questioner Average Company‘s Target Gap

PO1 = 2.60 PO2 = 2.21 PO3 = 2.79 PO4 = 2.80 PO5 = 2.71 PO6 = 2.49 PO7 = 2.41 PO10 = 2.50

Questioner Average PO+AI+DS+ME

4 = 9.21 = 2.30

4

PO = 3.00 Gap for PO 0.44

Average PO 2.56 AI1 = 2.37 AI2 = 2.32 AI3 = 2.70 AI4 = 1.87 AI5 = 2.58 AI6 = 1.93

AI = 3.00 Gap for AI 0.69

12

AI7 = 2.43 Average AI 2.31 DS1 = 2.34 DS3 = 2.32 DS4 = 2.23 DS5 = 2.42 DS6 = 2.45 DS7 = 2.57 DS8 = 2.56 DS9 = 2.44 DS11 = 2.52 DS12 = 2.29 DS13 = 2.55

DS = 3.00 Gap for DS 0.57

Average DS 2.43 ME1 = 2.15 ME2 = 1.85 ME3 = 1.73 ME4 = 1.91

ME = 3.00 Gap forME 1.09

Average ME 1.91 Total Gap Average 0.70

Table 3.1 Gap between The Company ‘sTarget and The Company’s Current Status

From the table above it is known that currently the company has not achieved the set

targets. There is gap between the company's current status with a target that is equal to 0.70.

3.3.2 Checklist Result

Based on the evaluation result, there are positive and negative findings. Here is the result

of the implementation of negative evaluation and the recommendations on the existing findings:


Finding 1

The budget for the is not priority for the company.

Recommendation

Company should increase the priority on information technology cost in the company's

budget plan.

13

Finding 2

Policies and procedures at the company still has not been documented and communicated

to all personnel.

Recommendation

Companies should make documentation of policies and procedures and communicated to

all personnel.

Finding 3

The company still has dependency on particular individual.

Recommendation

Companies should minimize reliance on certain individual by doing the transition to the

knowledge and documentation of knowledge.


Finding 1

The company has not made the risk analysis report related to company business needs.

Recommendation

Company should conduct risk analysis related to reporting to the company's business

needs.

Finding 2

The company has established procedures and standards for changes to applications,

procedures, processes and system, but have not done the documentation of the procedures

and standards.

14

Recommendation

We recommend that company to do documentation of the procedures and standards

changes in the application, procedures, processes and system.


Finding 1

The company has not made the performance and capacity planning information technology

resources for the future is still not organized.

Recommendation

We recommend that company to conduct capacity planning and performance of

information technology resources for the future in an organized manner.

Finding 2

The company has not made a review of the integrity of configuration data.

Recommendation

Company should conduct a review of the integrity of configuration data to improve

operations management.

Findings 3

The company has not made oversight of hardware and software on a regular basis.

Recommendation

The company should carry out supervision of hardware and software regularly.

15


Finding 1

The company has not made the process of reporting on the implementation of standards and

procedures in accordance with the laws and regulations on external demand.

Recommendation

Companies should be reporting on the implementation of standards and procedures that have

been adapted to the laws and regulations.

Finding 2

The company has not obtained confirmation of regulations in accordance with policies,

standards, and procedures established by the company. The company also has not made the

reporting of performance measurement information technology to accurately and timely.

Recommendation

The company should seek to obtain confirmation of regulations in accordance with policies,

standards, and procedures established by the company. And reporting on information

technology performance measurements are accurate and timely.

16

4. Conclusion

Based on the result of the evaluation that is done to control the information system at PT.

Viesta Mandiri Jaya using COBIT information systems auditing standard on internal perspective,

it was concluded that the inventory information system at PT. Viesta Mandiri Jaya still at the

stage of development, so there are some weaknesses such as dependence on particular

individuals and the absence of documentation of policies and procedures. However, information

technology security management at PT. Viesta Mandiri Jaya is good enough, it can be seen from

the application of user accounts, antivirus and restrict user access rights and with regard to the

physical environment of information technology. Inventory control information system at PT.

Viesta Mandiri Jaya is at maturity level 2 is based on the calculation level. Level 2 means the

level of maturity of the company's systems are Repeatable but Intuitive, where the process has

used the same pattern, but the procedure has not been standardized, documented and

communicated.

17

REFERENCES

IT Governance Institute. (2007). CobIT 4.1th ed. Framework, Control Objectives, Management

Guidelines and Maturity Model. ITGI, USA.

Pederiva, Andrea. (2003). The CobIT Maturity Model in a Vendor Evaluation Case. Infomation

Systems Control Journal, 3.

Sanyoto Gondodiyoto. (2009). Pengendalian Fungsi Audit Sistem Informasi + Contoh Audit

Charter. Edisi 2. Mitra Wacana Media, Jakarta.

Sanyoto Gondodiyoto. (2007). Audit Sistem Informasi + Pendekatan CobIT. Edisi Revisi. Mitra

Wacana Media, Jakarta.

EVALUASI PENGENDALIAN SISTEM ... -...

Documents

Transcript of EVALUASI PENGENDALIAN SISTEM ... -...