v

Universitas Kristen Maranatha

ABSTRAK

PT. BPR XXX merupakan sebuah bank yang terus berkembang dalam memberikan pelayanan jasa-jasa keuangan, terutama dalam memberikan pelayanan perkreditan kepada nasabah. Tentu teknologi dan informasi sangat berperan penting bagi PT. BPR XXX, namun PT.BPR XXX belum optimal dalam mengelola anggaran dan biaya, sumber daya manusia, hubungan antara bisnis dengan TI, penyelarasan layanan TI dan tingkat layanannya. COBIT 5 adalah kerangka bisnis yang berguna untuk tata kelola dan analisis manajemen perusahaan TI dan kumpulan alat yang mendukung para manager untuk memberikan jarak(gap) antara kebutuhan yang dikendalikan, masalah teknis dan risiko bisnis. Analisis sistem informasi PT. BPR XXX dengan menggunakan COBIT 5 proses APO10 – Manage Suppliers, APO11 -

Manage Quality, APO12 – Manage Risk, APO13 – Manage Security agar dapat

meningkatkan kinerja perusahaan serta meminimalkan risiko yang akan terjadi melalui laporan ini.

vi

ABSTRACT

PT . BPR XXX is a bank that is constantly evolving to provide services financial services , especially in providing credit services to customers . Of technology and information is very important for the PT . BPR XXX , but PT.BPR XXX not optimal in managing budgets and costs , human resources , relationship between business and IT , aligning IT services and service levels . COBIT 5 is a useful business framework for the governance and management of enterprise IT analysis and collection of tools that support the manager to give the distance ( gap ) between needs -controlled , technical issues and business risks . Analysis of information systems PT . BPR XXX by using COBIT 5 APO10 process - Manage Suppliers , APO11 - Manage Quality , APO12 - Manage Risk , APO13 - Manage Security in order to improve corporate performance and minimize the risks that will occur through this report .

vii

Universitas Kristen Maranatha

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

ABSTRAK ... v

ABSTRACT ... vi

DAFTAR ISI ... vii

DAFTAR GAMBAR ... ix

DAFTAR TABEL ... x

DAFTAR LAMPIRAN ... xi

DAFTAR SINGKATAN ... xii

BAB 1. PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 3

1.4 Ruang Lingkup Kajian ... 3

1.5 Sumber Data ... 5

1.6 Sistematika Penyajian ... 6

BAB 2. KAJIAN TEORI ... 8

2.1 Pengertian Audit ... 8

2.1.1 Audit Internal ... 9

2.2 Pengertian Sistem Informasi ... 10

2.3 Sistem Informasi Keamanan ... 10

2.3.1 Ancaman ... 11

2.4 Analisis ... 11

2.5 Manajemen Resiko ... 12

2.6 Metode Analisis ... 12

2.6.1 Studi kepustakaan ... 12

2.6.2 Interview (Wawancara) ... 12

viii

2.8 COBIT (Control Objectives for Information & Related Technology) 13

2.9 COBIT PAM (Process Assessment Model) ... 16

2.9.1 Perhitungan Capability Level ... 17

2.9.2 The Capability Dimension ... 18

2.9.3 Assessment indicator ... 19

2.9.4 Rating Scale ... 21

2.9.5 Input and Output ... 22

2.9.6 APO10 Manage Supplier ... 26

2.9.7 APO11 Manage Quality ... 28

2.9.8 APO12 Manage Risk ... 31

2.9.9 APO13 Manage Security ... 33

2.10 Langkah – Langkah analisis... 36

2.10.1 Initiation ... 36

BAB 3. ANALISIS DAN EVALUASI ... 41

3.1 Sejarah Perusahaan ... 41

3.2 Visi dan Misi Perusahaan ... 41

3.3 Struktur Organisasi Perusahaan ... 42

3.4 Hasil analisis dengan menggunakan COBIT 5 ... 43

3.4.1 Proses Penilaian Berdasarkan Capability Level ... 43

3.4.2 Proses APO10 - Manage Suppliers ... 44

3.4.3 Proses APO11 – Manage Quality ... 51

3.4.4 Proses APO12 - Manage Risk ... 62

3.4.5 Proses APO13 - Manage Security ... 69

3.5 Hasil Pencapaian Capability Level ... 73

BAB 4. SIMPULAN DAN SARAN ... 76

4.1 Simpulan ... 76

ix

Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 2.1 COBIT 5 Overview ... 16

Gambar 2.3 Capability Levels and Process Attributes ... 18

Gambar 2.4 Assesment Indikator ... 20

Gambar 2.5 Rating Levels ... 21

Gambar 2.6 Outputs ... 23

Gambar 2.7 Langkah – Langkah Analisis ... 36

Gambar 3.1 Struktur Organisasi Perusahaan ... 42

Gambar 3.9 Hasil Pencapaian dari Proses APO10 – Manage Supplier ... 50

Gambar 3.10 Hasil Pencapaian dari Proses APO11 – Manage Quality ... 61

Gambar 3.11 Hasil Pencapaian dari Proses APO12 – Manage Risk ... 68

Gambar 3.12 Hasil Pencapaian dari Proses APO13 – Manage Security ... 72

Gambar 4.1 Struktur Organisasi Bank BPR ... 88

Gambar 4.2 Bank BPR ... 89

Gambar 4.3 Fasilitas Karyawan Bank BPR ... 90

Gambar 4.4 Buku SOP ... 91

Gambar 4.5 Bukti telah dilakukan training ... 92

Gambar 4.6 Form Keluhan Customer ... 93

Gambar 4.7 Template Laporan Kerja ... 94

Gambar 4.8 Bukti Template Laporan ... 95

Gambar 4.9 Bukti Laporan Pelaksanaan Rencana Kerja ... 96

Gambar 4.10 Sertifikat Seminar ... 97

x

DAFTAR TABEL

Tabel 2.2 Proses APO10 – Manage Suppliers ... 26

Tabel 2.3 Proses APO11 - Manage Quality ... 29

Tabel 2.4 Proses APO12 – Manage Risk ... 32

Tabel 2.5 Proses APO13 – Manage Security ... 34

Tabel 3.1Manage Suppier APO10 Level 1 ... 49

Tabel 3.2 Manage Quality APO11 Level 1 ... 57

Tabel 3.3 Performance Management APO11 – Manage Quality ... 60

Tabel 3.4 Work product management APO11– Manage Quality ... 61

Tabel 3.5 Manage Risk APO12 Level 1 ... 67

xi

Universitas Kristen Maranatha

DAFTAR LAMPIRAN

LAMPIRAN A. HASIL WAWANCARA... 79 LAMPIRAN B. BUKTI GAMBAR ... 88

xii

DAFTAR SINGKATAN

APO = Algin, Plan, and Organise

IT = Information Technology

COBIT= Control Object for Information and Related Technology EDM = Evaluate, Direct and Monitor

BAI = Build, Acquire and Implement DSS = Deliver, Service and Support MEA = Monitor, Evaluate and Assess BPs = Base Practices

WPs = Work Products CS = Customer Service

RFI = Requests for Information RFP = Requests for Proposals SPI = Satuan Pengawas Internal

1

Universitas Kristen Maranatha

BAB 1.

PENDAHULUAN

Bab I ini digunakan untuk menjelaskan latar belakang, rumusan masalah berdasarkan latar belakang, tujuan penelitian, ruang lingkup kajian, sumber data, dan sistematika penyajian dari laporan audit.

1.1 Latar Belakang Masalah

Perkembangan teknologi saat ini berkembang dengan sangat pesat. Hampir seluruh perusahaan saat ini telah menerapkan teknologi informasi dalam proses bisnis perusahaan sebagai salah satu solusi dalam menghadapi dan memenangkan persaingan. Pada awal sekitar tahun 90 an penerapan komputerisasi masih menjadi hal yang jarang dikembangkan pada banyak sector dikarenakan masih mahalnya biaya operasional dan rendahnya manfaat, namun pada era millennium baru penerapan sistem komputerisasi sudah mulai diterapkan pada banyak bidang dan berkembang dengan pesatnya. Berbagai sistem dikembangkan dengan menggunakan media komputer dan pendukungnya, dalam hal ini membuat sebagian besar sektor mulai mengembangkan sistem informasi pada proses bisnis yang dilaksanakan, Bersama dengan perkembangan sistem informasi saat ini banyak teori – teori ilmiah mengenai pemanfaatan, pengelolaan dan lainnya.

Hal ini mengakibatkan pentingnya kerangka kerja untuk memastikan bahwa teknologi informasi memungkinkan bisnis, memaksimalkan keuntungan, resiko teknologi informasi dikelola secara tepat, dan sumber daya teknologi informasi digunakan secara bertanggung jawab. Untuk mencapai tujuan tersebut dibutuhkan perencanan, implementasi, dukungan, pengawasan dan evaluasi yang matang dan optimal. Sehingga kerugian-kerugian yang mungin bisa terjadi dapat dihindari. Kerugian yang dimaksud dapat terjadi dari kehilangan data, penyalahgunaan data, penyalahguaan komputer, informasi yang tidak akurat karena kesalahan dalam pemprosesan data sehingga ketepatan data diragukan, pengadaan investasi perangkat

2

Universitas Kristen Maranatha keras dan perangkat lunak yang tinggi tapi tidak diikuti nilai balik, pengelolaan staf teknologi informasi yang tidak terarah.

Salah satu aspek yang menjadi bagian penting dalam sistem informasi dan pengembangannya adalah aspek keamanan dan manajemen resiko. Seiring dengan berkembangnya sistem informasi pada saat ini beberapa hal penting yang menjadi faktor penentu agar sistem yang berjalan dengan baik dapat berfungsi, karena selain efek positif yang muncul akibat berkembangnya sistem informasi maka permasalahan keamanan dan pengelolaan sumber daya TI juga terjadi. Sebuah lembaga yang menggantungkan sebagian besar proses bisnisnya pada sistem informasi akan mengalami kendala serius ketika sistem yang diterapkan tidak berjalan dengan semestinya.

Oleh karena itu, penulis bermaksud untuk melakukan analisis dengan menggunakan framework COBIT 5, yaitu dengan domain APO dengan proses APO10 (Manage Supplier), APO11( Manage Quality), APO12 (Manage Risk), dan APO13 (Manage Security) yang diharapkan dapat memberikan manfaat dalam tata kelola IT dalam perusahaan tersebut agar menjadi lebih baik dan sesuai standar.

1.2 Rumusan Masalah

Beberapa masalah yang dapat dirumuskan seputar analisis ini berdasarkan latar belakang masalah adalah sebagai berikut:

1. Bagaimana cara mengelola layanan yang terkait dengan TI yang diberikan oleh semua jenis supplier untuk memenuhi kebutuhan perusahaan, termasuk pemilihan supplier, pengelolaan hubungan, manajemen kontrak, dan peninjauan serta pemantauan kualitas

supplier untuk menilai efektivitas dan kesesuaian?

2. Bagaimana cara mendefinisikan dan menyampaikan persyaratan kualitas dalam seluruh proses, prosedur, dan hasil termasuk kontrol, pemantauan, dan penggunaan praktek dan standar yang terbukti untuk upaya perbaikan terus-menerus dan efisiensi?

3

Universitas Kristen Maranatha 3. Bagaimana mengidentifikasi, menilai dan mengurangi resiko yang

berhubungan dengan IT didalam level toleransi yang diperlukan oleh suatu manajemen perusahaan?

4. Bagaimana mendefinisikan, mengoperasikan dan mengawasi sistem untuk manajemen keamanan informasi ?

1.3 Tujuan Pembahasan

Adapun tujuan dari pembahasan ini yang berdasarkan rumusan masalah adalah :

1. Dengan cara meminimalkan resiko yang terkait dengan supplier yang tidak ikut serta dan memastikan harga yang kompetitif.

2. Dengan cara memastikan pencapaian solusi dan layanan yang konsisten untuk memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan stakeholder.

3. Dengan cara mengintegrasikan manajemen dari resiko IT perusahaan dengan keseluruhan ERM (Enterprise Risk Management), serta menyeimbangkan biaya dan keuntungan dari mengelola resiko IT perusahaan.

4. Dengan cara menjaga agar dampak dan kejadian dari insiden keamanan informasi masih berada pada level risiko yang dapat diterima perusahaan.

1.4 Ruang Lingkup Kajian

Dalam proses pengerjaan adapun metode atau framework yang digunakan adalah:

1. Analisis sistem menggunakan pada framework COBIT 5. 2. Analisis sistem informasi akan dilakukan pada PT. BPR XXX. 3. Proses –proses yang akan digunakan dalam analisis ini adalah :

1. APO10 Manage Suppliers Control Objective :

4

Universitas Kristen Maranatha a. APO10-BP1 Identify and evaluate supplier

relationships and contracts.

b. APO10-BP2 Select suppliers.

c. APO10-BP3 Manage supplier relationships and

contracts.

d. APO10-BP4 Manage supplier risk.

e. APO10-BP5 Monitor supplier performance and

compliance.

2. APO11 Manage Quality Control Objective :

a. APO11-BP1 Establish a quality management

system (QMS).

b. APO11-BP2 Define and manage quality standarts, practices and procedures.

c. APO11-BP3 Focus quality management on

customers.

d. APO11-BP4 Perform quality monitoring, control

and reviews.

e. APO11-BP5 Integrate quality management into

solutions for development and service delivery.

f. APO11-BP6 Maintain continuous improvement. 3. APO12 Manage Risk

Control Objective :

a. APO12-BP1 Collect data. b. APO12-BP2 Analyse risk.

c. APO12-BP3 Maintain a risk profile. d. APO12-BP4 Articulate risk.

e. APO12-BP5 Define a risk management action

portofolio.

f. APO12.06 Respond to risk. 4. APO13 Manage Security

5

Universitas Kristen Maranatha a. APO13-BP1 Establish and maintain an ISMS. b. APO13-BP2 Define and manage an information

security risk treatment plan.

c. APO13-BP3 Monitor and review the ISMS.

1.5 Sumber Data

Metode yang akan dilakukan penulis untuk mendapatkan data yang dibutuhkan dengan dua sumber yaitu sumber data primer dan data sekunder:

o Data Primer

Data primer merupakan data yang diambil langsung dari responden yang didapat dari hasil:

• Wawancara

Pengumpulan data dengan cara ini dilakukan dengan tujuan untuk mengetahui proses dan tahapan yang dilakukan sekarang berhubungan dengan pengelolaan sumber daya teknologi informasi, proses pengambilan keputusan, proses investasi teknologi informasi juga harapan ideal berdasarkan pandangan mereka, sekaligus menentukan faktor – faktor apa saja yang harus diperhatikan pada saat investasi teknologi informasi akan dilakukan.

• Observasi

Metode observasi atau pengamatan merupakan salah satu metode pengumpulan data / fakta yang cukup efektif. Observasi merupakan pengamatan langsung yaitu suatu kegiatan yang bertujuan untuk memperoleh informasi yang diperlukan dengan cara melakukan pengamatan dan pencatatan dengan peninjauan langsung ke perusahaan atau instansi.

• Kuesioner

Pengumpulan data dengan kuesioner ini ditujukan kepada staff TI pada PT. BPR XXX dibuat dengan maksud memperoleh

6

Universitas Kristen Maranatha target pencapaian dan penilaian dari pencapaian yang sudah dilaksanakan.

o Data Sekunder

Data sekunder, merupakan data yang diperoleh dari beberapa laporan yang telah dipublikasikan oleh perusahaan secara internal atau instansi tertentu dan dapat dijaga keabsahannya.

• Metode lain dapat di lakukan melalui internet, buku petunjuk teknis dan buku petunjuk pelaksanaan sistem informasi sumber daya manusia serta buku literatur yang berasal dari perpustakaan.

1.6 Sistematika Penyajian

Berikut adalah sistematika pembahasan laporan penelitian yang dibuat oleh peneliti:

BAB 1. PENDAHULUAN

1.1 Latar Belakang Masalah

Berisi tentang latar belakang perusahaan dan inti masalah yang ada.

1.2 Rumusan Masalah

Berisi tentang pembahasan masalah-masalah yang ada dalam latar belakang masalah.

1.3 Tujuan Pembahasan

Berisi tentang hasil dari penyelesaian masalah-masalah yang ada pada rumusan masalah.

1.4 Ruang Lingkup Kajian

Berisi tentang proses –proses yang akan membantu analisis.

1.5 Sumber Data

7

Universitas Kristen Maranatha 1.6 Sistematika Penyajian

Berisi pembahasan laporan penelitian.

BAB 2. KAJIAN TEORI

Bab ini digunakan untuk menjelaskan prinsip teori dan aspek yang berkaitan dengan analisis aplikasi yang ada sekaligus menjadi tolak ukur dalam melakukan analisis audit.

BAB 3. ANALISIS DAN EVALUASI

Membahas mengenai hasil analisa yang telah dilakukan PT. Bank Perkreditan Rakyat, dengan menggunakan framework COBIT 5 domain / proses Align, Plan, and Organise (APO). BAB 4. SIMPULAN DAN SARAN

Pada bab ini berisikan simpulan dan saran kepada PT. BPR XXX berdasarkan pembahasan sebelumnya.

76

Universitas Kristen Maranatha

BAB 4.

SIMPULAN DAN SARAN

4.1 Simpulan

Berikut adalah kesimpulan yang diperoleh berdasarkan hasil analisis yang telah dilakukan berdasarkan data-data yang terkumpul:

1. Manage Suppliers pada PT. BPR sudah berjalan dengan baik, namun belum dapat mencapai target perusahaan. Perusahaan telah mengatur roles untuk setiap supplier sehingga supplier bertanggung jawab untuk kualitas layanan yang diberikan. Proses komunikasi yang baik antara supplier dengan perusahaan baik melalui email ataupun pertemuan rutin. Namun ada beberapa hal yang belum dilakukan oleh perusahaan, seperti membuat RFI (Requests for Information) dan RFP (Requests for Proposals),serta belum adanya pemantauan kriteria kepatuhan supplier yang meninjau kinerja supplier dengan memastikan bahwa supplier yang dikontrak dapat diandalkan dan kompetitif.

2. Manage Quality pada PT. BPR sudah berjalan baik and sesuai dengan tujuan perusahaan. Perusahaan memiliki setiap divisi yang bertugas untuk mengatur aturan QMS, tanggung jawab dan keputusan yang tepat. Standar kualitas manajemen juga telah didefinisikan berdasarkan tim OJK. Review mengenai kualitas layanan customer yang berdasarkan hasil form keluhan dari customer. Komunikasi mengenai perbaikan berkelanjutan dan praktek terbaik dalam rapat juga telah dilakukan oleh perusahaan. Namun ada beberapa hal yang belum dilakukan perusahaan, seperti evaluasi terhadap kemungkinan gagal dalam penyampaian layanan yang diberikan.

3. Manage Risk pada PT. BPR sudah berjalan dengan baik namun belum dapat mencapai target perusahaan. Beberapa hal yang sudah perusahaan lakukan, antara lain Perusahaan

77

Universitas Kristen Maranatha terdapat pengumpulan data yang berkaitan dengan akar penyebab masalah yang dapat dilihat pada log file. Portfolio juga terdapat dalam perusahaan untuk mengatur peluang dalam mengatur resiko yang ada. Skenario-skenario IT risk yang dianalsis dapat dilihat berdasarkan baris dan fungis bisnis. Namun upaya perusahaan dalam pengumpulan data yang berhubungan dengan resiko masih belum diimplementasi. 4. Manage Security pada PT. BPR belum berjalan dengan baik

dan belum dapat mencapai target perusahaan. Perusahaan telah menetapkan ruang lingkup dan batas-batas ISMS dalam karakteristik dari perusahaan, organisasi, lokasi, aset dan teknologi. Dalam rencana perawatan resiko keamanan informasi belum dilakukan oleh perusahaan, termasuk rekomendasi untuk meningkatkan ISMS.

5. Capability level pada PT. BPR belum tercapai yaitu dengan nilai 0,75 dan terdapat gap atau celah sebesar 1,25 untuk mencapai 2,0.

78

Universitas Kristen Maranatha

DAFTAR PUSTAKA

[3] C. Rohmanah, “definisi dan pengertian sistem informasi,” 5 December 2013

[4] Witarto, Memahami Sistem Informasi, Witarto, 2004.

[5] K.C. Laudon and J. P. Laudon, Management Information Systems: Managing the Digital Firms, 12th ed., Upple Saddle River, NJ: Prentice Hall,2012.

[6] ISACA, COBIT 5, A Business Framework for the Governance and Management of Enterprise IT, Rolling Meadows, USA: ISACA, 2012. [7] ISACA, COBIT 5 Process Assessment Model (PAM), Rolling Meadows: ISACA, 2013.

[8] ISACA, Assessor Guide: using COBIT 5, rolling meadows, USA: ISACA, 2013.

[1] Alvin A.A and James K.L, New Jersey: Prentice-Hill Inc, 1997. [2] Ron Webber, Information Systems Controls and Audit, 1999.

5

a. APO13-BP1 Establish and maintain an ISMS. b. APO13-BP2 Define and manage an information

security risk treatment plan.

c. APO13-BP3 Monitor and review the ISMS.

1.5 Sumber Data

Metode yang akan dilakukan penulis untuk mendapatkan data yang dibutuhkan dengan dua sumber yaitu sumber data primer dan data sekunder:

o Data Primer

Data primer merupakan data yang diambil langsung dari responden yang didapat dari hasil:

• Wawancara

Pengumpulan data dengan cara ini dilakukan dengan tujuan untuk mengetahui proses dan tahapan yang dilakukan sekarang berhubungan dengan pengelolaan sumber daya teknologi informasi, proses pengambilan keputusan, proses investasi teknologi informasi juga harapan ideal berdasarkan pandangan mereka, sekaligus menentukan faktor – faktor apa saja yang harus diperhatikan pada saat investasi teknologi informasi akan dilakukan.

• Observasi

Metode observasi atau pengamatan merupakan salah satu metode pengumpulan data / fakta yang cukup efektif. Observasi merupakan pengamatan langsung yaitu suatu kegiatan yang bertujuan untuk memperoleh informasi yang diperlukan dengan cara melakukan pengamatan dan pencatatan dengan peninjauan langsung ke perusahaan atau instansi.

• Kuesioner

Pengumpulan data dengan kuesioner ini ditujukan kepada staff TI pada PT. BPR XXX dibuat dengan maksud memperoleh

Universitas Kristen Maranatha

target pencapaian dan penilaian dari pencapaian yang sudah dilaksanakan.

o Data Sekunder

Data sekunder, merupakan data yang diperoleh dari beberapa laporan yang telah dipublikasikan oleh perusahaan secara internal atau instansi tertentu dan dapat dijaga keabsahannya.

• Metode lain dapat di lakukan melalui internet, buku petunjuk teknis dan buku petunjuk pelaksanaan sistem informasi sumber daya manusia serta buku literatur yang berasal dari perpustakaan.

1.6 Sistematika Penyajian

Berikut adalah sistematika pembahasan laporan penelitian yang dibuat oleh peneliti:

BAB 1. PENDAHULUAN

1.1 Latar Belakang Masalah

Berisi tentang latar belakang perusahaan dan inti masalah yang ada.

1.2 Rumusan Masalah

Berisi tentang pembahasan masalah-masalah yang ada dalam latar belakang masalah.

1.3 Tujuan Pembahasan

Berisi tentang hasil dari penyelesaian masalah-masalah yang ada pada rumusan masalah.

1.4 Ruang Lingkup Kajian

Berisi tentang proses –proses yang akan membantu analisis.

1.5 Sumber Data

7

1.6 Sistematika Penyajian

Berisi pembahasan laporan penelitian.

BAB 2. KAJIAN TEORI

Bab ini digunakan untuk menjelaskan prinsip teori dan aspek yang berkaitan dengan analisis aplikasi yang ada sekaligus menjadi tolak ukur dalam melakukan analisis audit.

BAB 3. ANALISIS DAN EVALUASI

Membahas mengenai hasil analisa yang telah dilakukan PT. Bank Perkreditan Rakyat, dengan menggunakan framework COBIT 5 domain / proses Align, Plan, and Organise (APO). BAB 4. SIMPULAN DAN SARAN

Pada bab ini berisikan simpulan dan saran kepada PT. BPR XXX berdasarkan pembahasan sebelumnya.

76

Universitas Kristen Maranatha

4.1 Simpulan

Berikut adalah kesimpulan yang diperoleh berdasarkan hasil analisis yang telah dilakukan berdasarkan data-data yang terkumpul:

1. Manage Suppliers pada PT. BPR sudah berjalan dengan baik, namun belum dapat mencapai target perusahaan. Perusahaan telah mengatur roles untuk setiap supplier sehingga supplier bertanggung jawab untuk kualitas layanan yang diberikan. Proses komunikasi yang baik antara supplier dengan perusahaan baik melalui email ataupun pertemuan rutin. Namun ada beberapa hal yang belum dilakukan oleh perusahaan, seperti membuat RFI (Requests for Information) dan RFP (Requests for Proposals),serta belum adanya pemantauan kriteria kepatuhan supplier yang meninjau kinerja supplier dengan memastikan bahwa supplier yang dikontrak dapat diandalkan dan kompetitif.

2. Manage Quality pada PT. BPR sudah berjalan baik and sesuai dengan tujuan perusahaan. Perusahaan memiliki setiap divisi yang bertugas untuk mengatur aturan QMS, tanggung jawab dan keputusan yang tepat. Standar kualitas manajemen juga telah didefinisikan berdasarkan tim OJK. Review mengenai kualitas layanan customer yang berdasarkan hasil form keluhan dari customer. Komunikasi mengenai perbaikan berkelanjutan dan praktek terbaik dalam rapat juga telah dilakukan oleh perusahaan. Namun ada beberapa hal yang belum dilakukan perusahaan, seperti evaluasi terhadap kemungkinan gagal dalam penyampaian layanan yang diberikan.

3. Manage Risk pada PT. BPR sudah berjalan dengan baik namun belum dapat mencapai target perusahaan. Beberapa hal yang sudah perusahaan lakukan, antara lain Perusahaan

77

terdapat pengumpulan data yang berkaitan dengan akar penyebab masalah yang dapat dilihat pada log file. Portfolio juga terdapat dalam perusahaan untuk mengatur peluang dalam mengatur resiko yang ada. Skenario-skenario IT risk yang dianalsis dapat dilihat berdasarkan baris dan fungis bisnis. Namun upaya perusahaan dalam pengumpulan data yang berhubungan dengan resiko masih belum diimplementasi. 4. Manage Security pada PT. BPR belum berjalan dengan baik

dan belum dapat mencapai target perusahaan. Perusahaan telah menetapkan ruang lingkup dan batas-batas ISMS dalam karakteristik dari perusahaan, organisasi, lokasi, aset dan teknologi. Dalam rencana perawatan resiko keamanan informasi belum dilakukan oleh perusahaan, termasuk rekomendasi untuk meningkatkan ISMS.

5. Capability level pada PT. BPR belum tercapai yaitu dengan nilai 0,75 dan terdapat gap atau celah sebesar 1,25 untuk mencapai 2,0.

78

Universitas Kristen Maranatha

[3] C. Rohmanah, “definisi dan pengertian sistem informasi,” 5 December 2013

[4] Witarto, Memahami Sistem Informasi, Witarto, 2004.

[5] K.C. Laudon and J. P. Laudon, Management Information Systems: Managing the Digital Firms, 12th ed., Upple Saddle River, NJ: Prentice Hall,2012.

[6] ISACA, COBIT 5, A Business Framework for the Governance and Management of Enterprise IT, Rolling Meadows, USA: ISACA, 2012. [7] ISACA, COBIT 5 Process Assessment Model (PAM), Rolling Meadows: ISACA, 2013.

[8] ISACA, Assessor Guide: using COBIT 5, rolling meadows, USA: ISACA, 2013.

[1] Alvin A.A and James K.L, New Jersey: Prentice-Hill Inc, 1997. [2] Ron Webber, Information Systems Controls and Audit, 1999.