Bab 2 Landas an Teori 2.1 Evaluasi M enurut Umar (2005, p36), evaluasi adalah suatu proses untuk meyediakan informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih di antara keduanya serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh. Berdasarkan Bistok Sirait FBBS (2008) evaluasi adalah suatu proses menjelaskan, memperoleh, dan menyediakan data yang berguna untuk menilai alternatif keputusan. Jadi dapat disimpulkan bahwa evaluasi merupakan teknik penilaian suatu implementasi sistem atau suatu kegiatan tertentu apakah telah sesuai dengan yang diharapkan dan telah mencapai tujuan yang telah ditetapkan sebelumnya dengan menggunakan standar yang berlaku, yang dilakukan secara berkala melalui metode yang tepat.
2.2
Sistem Informasi M enurut Kertahadi (Fatta, 2007) sistem informasi adalah suatu alat untuk
menyajikan informasi sedemikian rupa sehingga bermanfaat bagi penerimanya. Tujuannya adalah untuk menyajikan informasi guna pengambilan keputusan pada perencanaan, pemrakarsaan, pengorganisasian, pengendalian kegiatan operasi suatu perusahaan yang menyajikan sinergi organisasi pada proses, hal ini dikemukakan oleh M urdick & Ross (Fatta, 2007).
7
8
O’Brien (2005, p5), mendefinisikan sistem informasi sebagai kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. M enurut Rainer & Turban (2009, p415) “Information system a process that collects, processes, stores, analyzes, and disseminates information for a specific purpose; most ISs are computerized.” Sistem informasi adalah mengumpulkan, memproses, menyimpan, meneliti, dan menyebarluaskan informasi untuk suatu tujuan spesifik yang memproses masukan dan menghasilkan keluaran yang dikirim kepada pemakai, atau kepada sistem itu sendiri. M enurut Gondodiyoto (2007, p112) sistem informasi dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mengolah data menjadi informasi. Berdasarkan
para pakar tersebut diatas, maka disimpulkan bahwa Sistem
informasi adalah suatu kesatuan komponen yang terdiri dari people, hardware, software, network, dan sumber daya lainnya yang diproses untuk menghasilkan informasi bagi suatu organisasi. Pengertian ini didukung teori yang dikemukakan oleh O’Brien (2005, p5), sebuah sistem informasi dapat berupa orang, hardware, software, jaringan komunikasi, dan sumber data yang diperoleh melalui pengumpulan data, diproses sehingga menjadi informasi bagi organisasi tersebut. Selain itu menurut Brian dan Stacey (2005, p447), Sistem Informasi merupakan suatu kombinasi orang (user), hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan suatu informasi di dalam suatu organisasi.
9
2.2.1 Tujuan dan Fungsi Sistem Informasi : Fungsi sistem informasi bertanggung jawab untuk pengolahan data. Pengolahan data merupakan aplikasi sistem informasi akuntansi yang paling mendasar dalam setiap tujuan organisasi. Tujuan daripada sistem informasi ada tiga macam yaitu: 1.
Untuk mendukung fungsi kepengurusan (stewardship) manajemen. Kepengurusan yang merujuk ke tanggung jawab manajemen untuk mengatur sumber daya perusahaan secara benar.
2.
Untuk mendukung dasar pengambilan keputusan manajemen. Sistem informasi memberikan para manager informasi yang mereka butuhkan untuk melakukan tanggung jawab dalam pengambilan keputusan.
3.
Untuk mendukung kegiatan operasi perusahaan. Sistem Informasi menyediakan informasi bagi personal operasi untuk membantu kegiatan operasi perusahaan secara efisien dan efektif.
2.2.2 Jenis Sistem Informasi Jenis sistem informasi antara lain adalah sebagai berikut : 1.
Pengolahan Data Elektronik (Electronic Data Processing) Pemanfaatan teknologi komputer untuk melakukan pengolahan data transaksitransaksi dalam suatu organisasi. EDP adalah aplikasi sistem informasi paling dasar dalam setiap organisasi.
2.
Sistem Informasi M anajemen (Management Information System) Sistem ini menguraikan penggunaan teknologi komputer untuk menyediakan informasi bagi pengambilan keputusan para manager.
10
3.
Sistem Pendukung Keputusan (Decision Support System) Sistem ini mensyaratkan penggunaan model-model keputusan dan basis data khusus, dan benar-benar terpisah dari sistem pengolahan data. Sistem pendukung keputusan diarahkan untuk melayani permintaan informasi tertentu, khusus, dan tidak rutin dari manajemen.
4.
Sistem Pakar (Expert System) Expert System adalah Sistem Informasi berbasis pengetahuan yang memanfaatkan pengetahuannya tentang bidang aplikasi tertentu untuk bertindak sebagai seorang konsultan ahli bagi pemakainya.
5.
Sistem Informasi Eksekutif (Excecutive Information System) Excecutive Information System adalah Sistem yang dibuat untuk kebutuhan informasi strategi manajemen tingkat puncak.
6.
Sistem Informasi Akuntansi (Accounting Information System) Accounting Information System adalah Sistem berbasis komputer yang dirancang untuk mengubah data akuntansi menjadi informasi.
2.2.3 Komponen Fisik Sistem Informasi Komponen fisik sistem informasi terdiri dari: 1.
Perangkat keras komputer: CPU, Storage, perangkat Input/Output, Terminal untuk interaksi, M edia komunikasi data.
2.
Perangkat lunak komputer: perangkat lunak sistem (sistem operasi dan utilitinya), perangkat lunak umum aplikasi (bahasa pemrograman), perangkat lunak aplikasi (aplikasi akuntansi dll).
3.
Basis data: penyimpanan data pada media penyimpan komputer.
11
4.
Prosedur: langkah-langkah penggunaan sistem.
5.
Personil untuk pengelolaan operasi (SDM ), meliputi:
•
Clerical personnel (untuk menangani transaksi dan pemrosesan data dan melakukan inquiry = operator)
•
First level manager: untuk mengelola pemrosesan data didukung dengan perencanaan, penjadwalan, identifikasi situasi out-of-control dan pengambilan keputusan level menengah ke bawah.
•
Staff specialist: digunakan untuk analisis untuk perencanaan dan pelaporan.
•
Management: untuk pembuatan laporan berkala, permintaan khusus, analisis khusus, laporan khusus, pendukung identifikasi masalah dan peluang.
2.3
Laporan Keuangan
2.3.1 Jenis Laporan Keuangan Jenis-jenis laporan keuangan : 1.
Analisis perbandingan antara laporan keuangan : Analisis ini dilakukan dengan membandingkan laporan keuangan lebih dari satu periode. Artinya minimal dua periode atau lebih. Dari analisis ini akan dapat diketahui perubahan-perubahan yang terjadi. Perubahan yang terjadi berupa kenaikan atau penurunan dari masing-masing komponen analisis. Dari perubahan ini terlihat masing-masing kemajuan atau kegagalan dalam mencapai target yang telah ditetapkan sebelumnya.
12
2.
Analisis trend Analisis trend atau tendensi merupakan analisis laporan keuangan yang biasanya dinyatakan dalam presentase tertentu. Analisis ini akan dilakukan dari periode ke periode sehingga akan terlihat apakah perusahaan mengalami perubahan yang naik, turun, atau tetap, serta seberapa besar perubahan tersebut yang dihitung dalam persentase.
3.
Analisis persentase per komponen Analisis persentase per komponen merupakan analisis yang dilakukan untuk membandingkan antara komponen yang ada dalam satu laporan keuangan, baik yang ada di neraca maupun laporan laba rugi.
4.
Analisis sumber dan penggunaan dana Analisis sumber dan penggunaan dana merupakan analisis yang dilakukan untuk mengetahui sumber-sumber dana perusahaan dan penggunaan dana dalam satu periode. Analisis ini juga untuk mengetahui jumlah modal kerja dan sebab-sebab berubahnya modal kerja perusahaan dalam satu periode.
5.
Analisis sumber dan penggunaan kas Analisis sumber dan penggunaan kas merupakan analisis yang digunakan untuk mengetahui sumber-sumber kas perusahaan dan penggunaan uang kas dalam satu periode. Selain itu, juga untuk mengetahui sebab-sebab berubahnya jumlah uang kas dalam satu periode tertentu.
6.
Analisis rasio Analisis rasio merupakan analisis yang digunakan untuk mengetahui hubungan pos- pos yang ada dalam satu laporan keuangan neraca dan laporan laba rugi.
13
7.
Analisis kredit Analisis kredit merupakan analisis yang digunakan untuk menilai layak tidaknya suatu kredit dikucurkan oleh lembaga keuangan seperti bank. Dalam analisis ini digunakan beberapa cara alat analisis yang digunakan.
8.
Analisis laba kotor Analisis laba kotor merupakan analisis yang digunakan untuk mengetahui jumlah laba kotor dari periode ke satu periode. Kemudian juga untuk mengetahui sebabsebab berubahnya laba kotor tersebut antara periode.
9.
Analisis titik pulang pokok atau titik impas Analisis titik pulang pokok disebut juga analisis titik impas atau break event point. Tujuan analisis ini adalah untuk mengetahui pada kondisi berapa penjualan produk dilakukan dan perusahaan tidak mengalami kerugian.
Laporan keuangan yang dikeluarkan oleh perusahaan biasanya terdiri: a.
Neraca Laporan yang sistematis tentang aktiva, hutang, modal dari suatu perusahaan pada suatu saat tertentu menunjukkan posisi keuangan (aktiva, utang dan modal) pada saat tertentu. Tujuan neraca adalah menunjukkan posisi keuangan suatu perusahaan pada suatu tanggal tertentu, biasanya pada waktu di mana buku-buku ditutup dan ditentukan sisanya pada suatu akhir tahun fiskal atau tahun kalender (misalnya pada tanggal 31 Desember 200x).
b.
Laporan laba rugi Suatu laporan yang menunjukkan pendapatan dari penjualan, berbagai biaya, dan laba yang diperoleh oleh perusahaan selama periode tertentu.
14
c.
Laporan saldo laba M enunjukkan perubahan laba ditahan selama periode tertentu.
d.
Laporan arus kas M enunjukkan arus kas selama periode tertentu.
e.
Catatan atas laporan keuangan Berisi rincian neraca dan laporan laba rugi, kebijakan akuntansi, dan lain sebagainya.
2.3.2 Dasar Laporan Keuangan Laporan Keuangan perusahaan didasarkan pada aturan-aturan akutansi dan harus memberikan informasi historis, kuantitatif dasar yang merupakan sekumpulan input yang penting yang digunakan dalam menghitung nilai-nilai ekonomis. Laporan Keuangan terdiri dari : 1.
Laporan laba rugi Laporan mengenai penghasilan, biaya, laba rugi yang diperoleh suatu perusahaan selama periode tertentu.
2.
Neraca Laporan mengenai aktiva, hutang dan modal dari perusahaan pada suatu saat tertentu.
Aktiva dibagi menjadi dua yaitu : a.
Jangka panjang, yaitu jangka waktu lebih dari 1 tahun.
b.
Jangka pendek, yaitu jangka waktu 1 tahun atau kurang dari 1 tahun.
15
Hutang dapat diklasifikasikan menjadi : a.
Dijamin penuh, kreditor yang diberi jaminan sama atau lebih dari besarnya hutang.
b.
Dijamin sebagian, kreditor yang diberi jaminan kurang dari besarnya hutang.
c.
Kreditur tidak dijamin, kreditor yang tidak diberi jaminan dalam bentuk barangbarang tertentu.
3.
Laporan laba ditahan Yaitu daftar kumulatif laba yang berasal dari tahun-tahun sebelumnya dan tahun berjalan yang tidak dibagikan sebagai deviden.
4.
Laporan arus kas yang menunjukan operasi perusahaan, investasi, dan aliran kas pembiayaan.
2.3.3 Tujuan Laporan Keuangan Laporan Keuangan yang sebenar merupakan produk akhir dari proses atau kegiatan akuntansi dalam satu kesatuan. Proses akuntansi dimulai dari pengumpulan bukti-bukti transaksi yang terjadi sampai pada penyusunan laporan keuangan. Proses akuntansi tersebut harus dilaksanakan menurut cara tertentu yang lazim dan berterima umum serta sesuai dengan standar akuntansi keuangan. M enurut Pedoman Standar Akuntansi Keuangan (PSAK), 2004 tujuan laporan keuangan untuk tujuan umum adalah menyediakan informasi yang menyangkut posisi keuangan suatu perusahaan yang bermanfaat bagi sejumlah besar pemakai dalam pengambilan keputusan ekonomi serta menunjukkan kinerja yang telah dilakukan manajemen (stewardship) atau pertanggungjawaban manajemen atas penggunaan sumber-sumber daya yang dipercayakan kepadanya.
16
Dalam rangka mencapai tujuan
tersebut suatu laporan keuangan menyajikan
informasi mengenai perusahaan meliputi: 1.
Aktiva
2.
Kewajiban
3.
Ekuitas
4.
Pendapatan dan beban termasuk keuntungan
5.
Arus kas Informasi tersebut di atas beserta informasi lain yang terdapat dalam catatan
laporan keuangan membantu pengguna laporan dalam memprediksi arus kas masa depan khusus dalam hal waktu dan kepastian diperoleh kas dan setara kas. Tujuan dan manfaat laporan keuangan : 1.
Untuk mengetahui posisi keuangan perusahaan dalam satu periode tertentu, baik harta, kewajiban, modal, maupun hak usaha yang telah dicapai untuk beberapa periode.
2.
Untuk mengetahui kelemahan-kelemahan apa saja yang menjadi kekurangan perusahaan.
3.
Untuk megetahui kekuatan-kekuatan yang dimiliki.
4.
Untuk melakukan penilaian kinerja manajemen ke depan, apakah perlu penyegaran atau tidak karena sudah dianggap berhasil atau gagal.
5.
Dapat juga digunakan sebagai pembanding dengan perusahaan sejenis tentang hasil yang mereka capai.
6.
Untuk mengetahui langkah-langkah perbaikan apa saja yang perlu dilakukan ke depan yang berkaitan dengan posisi keuangan perusahaan saat ini.
17
2.4
Audit Laporan Keuangan Definisi audit laporan keuangan (Arens, 2003, p4): “Audit of historical financial
statements is a form of attestation service in which the auditor issues a written report expressing an opinion about whether the financial statements are in material conformity with generally accepted accounting principles”. Arens menyatakan bahwa definisi ini memang mengenai “audit [as attestation] for the historical financial statements ”. Batasan pengertian tersebut selaras dengan definisi dari AAA (The American Accounting Association) Committee on BasicAuditing Concepts tentang audit laporan keuangan (audit sebagai atestasi terhadap asersi manajemen perusahaan) sebagai berikut : “Auditing is a process by which of competent, independent person accumulates and evaluates evidence about quantifiable information related to a specific economic entity for the purpose of determining and reporting on the degree of correspondence between the quantifiable information and established criteria”. Pada bagian lain, definisi audit (audit laporan keuangan, general financial audit) dari The American Accounting Associatin Committee on Basic Auditing Concepts yang mengandung pemahaman yang lebih luas, adalah : “A Systematic process of objectively obtaining and evaluation evidence regarding assertions the degree of correspondence between those assertion and established criteria and communicating the results to interested user ”. Dari uraian di atas dapat disimpulkan bahwa audit laporan keuangan adalah suatu proses pemeriksaan oleh orang-orang yang mampu kompeten dan independe, dengan menghimpun dan mengevaluasi bukti-bukti dan keterangan yang terukur suatu kesatuan ekonomi, dengan tujuan untuk mempertimbangkan dan melaporkan tingkat kesesuaian
18
dari keterangan terukur yang diperoleh dari pemeriksaannya tersebut dengan kriteria yang telah ditetapkan.
2.5
Sistem Pengendalian Internal
2.5.1 Pengertian Sistem Pengendalian Internal Dasaratha dan Frederick
(2006, p103), mengemukakan pengendalian internal
sebagai suatu proses yang dihasilkan oleh dewan kesatuan dari direktur, manajemen dan personil lainnya, yang dirancang untuk menyediakan jaminan yang pantas mengenai pencapaian tujuan dalam kategori berikut ini: efektifitas dan efisiensi operasional, laporan keuangan yang dapat dipercaya, dan ketaatan terhadap hukum dan peraturan yang ditetapkan. M enurut Arens, Elder, dan Beasley (2005, p270), sistem pengendalian internal adalah suatu sistem dari pengendalian internal berisi kebijakan dan prosedur yang dirancang untuk menyediakan jaminan yang pantas mengenai pencapaian
tujuan
perusahaan dalam kategori berikut ini: (1) Laporan keuangan yang dapat dipercaya. (2) Efektifitas dan efisiensi operasional. (3) Ketaatan terhadap hukum dan peraturan yang diterapkan. Dari beberapa definisi diatas maka dapat disimpulkan bahwa sistem pengendalian internal merupakan serangkaian tindakan pengamanan atau kebijakan-kebijakan yang dikeluarkan suatu perusahaan untuk mengamankan aktiva perusahaan, dan membantu
19
tercapainya efisiensi kegiatan operasional serta terciptanya data akuntansi yang akurat dan handal. 2.5.2 Tujuan Sistem Pengendalian Internal M enurut Dasaratha dan Frederick (2006, p106), tujuan dari sistem pengendalian internal adalah sebagai berikut: 1. Efektifitas dan efisiensi operasional 2. Laporan keuangan yang dapat dipercaya 3. Ketaatan terhadap hukum dan peraturan yang diterapkan 4. M elindungi asset M enurut Arens, Elder, dan Beasley
(2005, p271), tujuan dari pengendalian
internal adalah sebagai berikut: 1. Laporan keuangan yang dapat dipercaya M anajemen mempunyai tanggung jawab yang sah dan professional untuk meyakinkan bahwa informasi disiapkan dengan baik sesuai dengan persyaratan pelaporan seperti Generally Accepted Accounting Principle (GAAP). 2. Efektifitas dan efesiensi operasional Pengendalian dalam sebuah organisasi berarti memberanikan penggunaan sumber daya secara efektif dan efisien, termasuk personil serta mengoptimalkan tujuan perusahaan. 3. Ketaatan terhadap hukum dan peraturan yang diterapkan M anajemen bertanggung jawab untuk menetapkan dan memelihara struktur dan prosedur pengendalian internal untuk laporan keuangan.
20
2.5.3 Sifat Sistem Pengendalian internal M enurut Gondodiyoto (2007,p.250), ditinjau dari sifatnya sistem pengendalian internal dapat dibedakan dalam berbagai segi pandang pengelompokan: 1.
Pengendalian Internal digolongkan ke dalam preventif, detection, corrective. a. Preventif control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (mencegah atau menjaga) jangan sampai terjadi kesalahan (kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud). b. Detection control, adalah pengendalian yang didesain dengan tujuan agar apabila data direkam (dientry)/ dikonversi dari media sumber (media input) untuk di transfer ke sistem komputer yang dapat dideteksi bila terjadi kesalahan. c. Corrective control, adalah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh detection control, atau data yang error yang terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian kalau kesalahan atau penyalahgunaan tersebut sudah benar terjadi.
2.
Pengendalian internal digolongkan kedalam General controls, dan special atau aplication controls. a. General control (pengendalian umum) adalah pengendalian yang berlaku untuk seluruh kegiatan komputerisasi pada suatu organisasi b. Application control (pengendalian aplikasi, pengendalian khusus), adalah pengendalian yang dirancang khusus untuk aplikasi tertentu.
21
3.
Pengendalian internal dikelompokan ke dalam pengendalian yang bersifat wajib (mandatory) dan yang optional.
2.5.4 Unsur-Unsur Pengendalian Internal M enurut Gondodiyoto (2007, p.268-272), pengendalian internal terdiri dari unsur atau komponen yang saling berintegrasi, antara lain : 1.
Lingkungan Pengendalian (Control Environment) Komponen yang berperan dalam membangun atmosfer (iklim) yang konduktif bagi para karyawan mengenai kesadaran pentingnya kontrol sehingga dapat menciptakan suasana yang dapat membuat karyawan dapat menjalankan dan menyelesaikan tugas kontrol dan tanggung jawabnya masing-masing.
2.
Penaksiran Resiko (Risk Assessment) M erupakan proses identifikasi dan analisis resiko yang dapat menghambat atau berhubungan dengan pencapaian tujuan perusahaan, serta menentukan cara bagaimana resiko tersebut ditangani.
3.
Aktivitas Pengendalian (Control Activities) M erupakan
kebijakan
dan
prosedur
yang dirancang untuk
memastikan
dilaksanakan kebijakan manajemen dan bawhwa resiko sudah diantisipasi dan dapat membantu memastikan bahwa tindakan yang diperlukan untuk penanganan resiko telah dilakukan sesuai dengan apa yang telah direncanakan. 4.
Informasi dan Komunikasi (Information and Communication) Komponen ini menjelaskan bahwa sistem informasi sangat penting bagi keberhasilan atau peningkatan untuk operasional organisasi.
22
5.
Pemantauan (Monitoring) M erupakan proses yang menilai kualitas dari kinerja sistem dan internal control dari waktu ke waktu, yang melakukan aktivitas monitoring dan melakukan evaluasi secara terpisah.
2.6
CobIT M enurut Gondodinyoto (2007, pp151-152), CobIT adalah merupakan a set of best
practices (framework) bagi pengelolaan teknologi informasi (IT management). CobIT disusun oleh the IT Governance Institute (ITGI) dan Information System Audit and Control Foundation’s (ISACF) pada tahun 1992. CobIT (Control Objective of Information Technology) adalah alat yang komprehensif untuk menciptakan adanya IT Governance di perusahaan. CobIT merupakan framework 34 high-level control objectives yang dibutuhkan oleh auditor dan manajer. CobIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). CobIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, pelaksanaan, pengendalian, dan keamanan. CobIT (Control Objective for Information and Related Technology) merupakan sebuah kerangka kerja (framework) yang terdiri dari sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna (user)
untuk
menjembatani
gap
resiko
bisnis,
kebutuhan
pengendalian
dan
23
permasalahan-permasalahan teknis serta dapat memberikan arahan (guidelines) yang berorientasi pada bisnis. CobIT bermanfaat bagi auditor karena merupakan teknis yang dapat membantu dalam identifikasi IT control issues. CobIT berguna bagi para IT user karena memperoleh keyakinan dan kehandalan sistem aplikasi yang digunakan. Sedangkan manager
memperoleh
manfaat dalam keputusan investasi dibidang IT serta
infrastrukturnya, menyusun strategic IT Plan, menentukan information architecture, dan keputusan atas procurement (pengadaan atau pembelian) mesin. Oleh karena itu, business process owners dan manager, termasuk juga auditor dan users, diharapkan dapat memanfaatkan guidelines ini dengan baik. CobIT disusun oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Assocation (ISACA). CobIT didesain terdiri dari 34 high level control objective yang mengambarkan proses TI dari 4 domain yaitu : Plan and Organized (PO), Acquire and Implement(AI), Deliver and Support(DS) dan Monitor and Evaluate(ME), dimana menyangkut seluruh sumber daya informasi (IT resources) yaitu : orang, aplikasi TI, teknologi, fasilitas dan infrastruktur lainnya dan sebagainya. Dengan melakukan kontrol terhadap ke-34 objective tersebut, perusahaan dapat memperoleh keyakinan dan kelayakan tata kelola dan control yang diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia lagi sekitar 210 tujuan kontrol yang lebih detail untuk menjamin kelengkapan dan efektivitas implementasi. Alat-alat tersebut yaitu: 1.
Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI).
24
2.
Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari setiap proses TI.
3.
M odel maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan. Sumber daya TI merupakan suatu elemen yang sangat disoroti CobIT untuk
pemenuhan kebutuhan bisnis terhadap : efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi (effectiveness, efficiency,
confidentiality, integrity, availability,
compliance dan
reliability). Komponen CobIT terdiri dari Executive Summary, Framework, Control Objective, Audit Guidelines, Implemenation Tool Set, Management Guidelines. Produk CobIT telah dikategorikan dalam tiga tingkat, yang didesain untuk mendukung: 1.
Para direksi dan manajemen eksekutif.
2.
M anajemen bisnis dan TI.
3.
Pengelolaan, jaminan, pengendalian, dan keamanan professional.
25
Product CobiT :
Gambar 2.1 Product CobIT Sumber : ITGI-CobIT 4.1th ed (2007, p7)
Produk-produk tersebut antara lain : 1.
Board Briefing on IT Governance, 2nd Edition M embantu para eksekutif memahami betapa pentingnya IT Governance, apa yang menjadi masalah dan tanggung jawab mereka dalam pengelolaannya.
2.
Management guidelines atau maturity models M embantu menentukan tanggung jawab, pengukuran kinerja, tolak ukur dan menemukan gap dalam kapabilitasnya.
26
3.
Frameworks M engorganisasikan objective IT governance dan good practice pada domain dan proses TI, serta menghubungkan dengan kebutuhan bisnis.
4.
Control Objective M enyediakan sebuah kumpulan komplit dari kebutuhan tingkat tinggi yang akan dipertimbangkan oleh manajemen guna mengendalikan setiap proses TI agar lebih efektif.
5.
IT Governance Implementation Guide : Using CobIT @ and Val IT TM, 2nd Edition M enyediakan peta jalan yang umum untuk mengimplementasikan IT governance dengan menggunakan CobIT dan Val IT TM resources.
6.
CobIT@ Control Practices : Guidance to Achieve Control Objective for successful IT Governance, 2nd Edition M enyediakan petunjuk mengenai mengapa kontrol sangat penting untuk diimplementasikan dan bagaimana cara mengimplementasikan petunjuk-petunjuk tersebut.
7.
IT Assurance Guide : Using CobIT@ M enyediakan pedoman mengenai bagaimana CobIT dapat digunakan untuk mendukung jaminan dari keanekaragaman aktivitas bersama dengan langkah pengujian yang diusulkan dalam proses IT dan objective control.
2.6.1 Misi CobIT Berdasarkan IT Governance Institute (ISACA, 2007, p9), misi CobIT dijelaskan sebagai berikut : “ To research develop, publicise and promote an authoritative, up-to-
27
date, internationally, accepted IT governance control framework adoption by enterprises and day-to-day use by business managers professionals.” Adapun misi CobIT menurut Sanyoto Gondodinyoto (2006, p237), adalah meneliti, mengembangkan, mengumumkan, dan mempromosikan suatu wewenang terbaru, satuan teknologi internasional yang berlaku umum yang digunakan oleh para manajer bisnis dan auditor. CobIT diharapkan dapat membantu menemukan berbagai kebutuhan manajemen berkaitan dengan TI, membantu pengoptimalan investasi kriteria ketika terjadi penyelewengan atau penyimpangan, serta dapat diterapkan dan diterima sebagai standar keamanan TI dan praktek kendali untuk mendukung kebutuhan menajemen dalam menentukan dan mengawasi tingakatan yang sesuai dengan keamanan dan kendali organisasi mereka.
2.6.2 Tujuan CobIT M enurut Sanyoto Gondodinyoto (2007, pp153) CobIT bermanfaat bagi beberapa pihak yaitu: 1.
Auditor, karena merupakan teknik yang dapat membantu dalam identifikasi masalah pengendalian TI.
2.
IT User, karena memperoleh keyakinan atas kehandalan sistem aplikasi yang digunakan.
3.
M anajer, karena memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya,
menyusun strategic
IT
plan,
menentukan
Information
Architecture, dan keputusan atas procurement (pembelian atau penggandaan) mesin.
28
CobIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. CobIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan control, dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. CobIT mendukung manajemen dalam mengoptimalkan investasi TI melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya jika suatu kesalahan atau resiko akan sedang terjadi. M anajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individu memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.
2.6.3 Kriteria CobIT M enurut Sanyoto Gondodinyoto (2007, p154), kriteria kerja CobIT meliputi: 1.
Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya, dan tepat waktu.
2.
Efisiensi M enfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
29
3.
Kerahasiaan M enfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
4.
Integritas Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
5.
Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
6.
Kepatuhan Sesuai menurut hukum, peraturan, dan rencana perjanjian untuk proses bisnis.
7.
Keakuratan Informasi Berhubungan
dengan
ketentuan,
kecocokan
informasi untuk
manajemen
mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban. Tabel tentang Kriteria Informasi : Efektivitas
Untuk
memperoleh
informasi
yang
relevan dan berhubungan dengan proses
1. Quality Requirements
bisnis seperti penyampaian dengan
benar,
konsisten,
informasi dapat
dipercaya, dan tepat waktu. Efisiensi
Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
30 Kerahasiaan
Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
2. Security Requirement
Integritas
Berhubungan dengan keakuratan dan kelengkapan
informasi
sebagai
kebenaran yang sesuai dengan harapan dan nilai bisnis. Ketersediaan
Berhubungan
dengan informasi
yang
tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan
Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
3.Fiduciary Requirements
Keakuratan
Berhubungan
dengan
ketentuan
informasi
kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
Tabel 2.1 Kriteria Informasi CobIT Sumber : Gondodiyoto (2007, p277)
31
Untuk mencapai tujuan-tujuan perusahaan terkait dengan tujuan TI maka perusahaan-perusahaan memerlukan beberapa sumber daya berikut: 1.
Aplikasi. Sistem yang terotomatisasi dan prosedur manual yang memproses informasi.
2.
Informasi. Data dari semua form masukan, diproses dan menghasilkan suatu laporan oleh sistem informasi.
3.
Infrastruktur. Teknologi dan fasilitas (perangkat keras, sistem operasi, DBMS (Database Management Systems), networking, multimedia, dan lain-lain) untuk mendukung pengoperasian aplikasi.
4.
Sumber
daya
manusia.
Orang
yang
dibutuhkan
untuk
merencanakan,
mengorganisasi, mengimplementasi, mengirimkan, mendukung, memonitor, dan mengevaluasi sistem informasi dan pelayanan-pelayanan. Sumber daya manusia ini dapat berasal dari internal, outsource atau dikontrak jika diperlukan.
32
Gambar Framework CobiT 4.1 :
Gambar 2.2 Framework CobIT Sumber : ITGI-CobIT 4.1th ed (2007, p26)
33
2.6.4 Kerangka kerja CobIT M enurut Gondodiyoto (2007, p279), kerangka kerja CobIT terdiri atas beberapa arahan (guidelines), yakni : 1.
Control Objectives Terdiri atas 4 tujuan tingkat tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu :
a.
Planning and Organization (PO)
b.
Acquisition and Implemention (AI)
c.
Delivery and Support (DS)
d.
Monitoring and Evaluate (ME)
2.
Audit Guidelines Berisi sebanyak 210 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan.
3.
Management Guidelines Berisi arahan, baik secara umum maupun secara spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
a.
Sejauh mana Teknologi Informasi (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya?
b.
Apa saja indikator untuk suatu kinerja yang bagus?
c.
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors)?
d.
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan?
e.
Bagaimana anda mengukur keberhasilan dan menilainya?
34
2.6.5 Domain CobIT Kontrol objektif terdiri dari 4 domain yaitu : 1.
Perencanaan dan Organisasi (Plan and Organization) Dalam hal ini mencakup strategi dan taktik, menekankan pada identifikas i
bagaimana teknologi informasi dapat memberikan kontribusi yang terbaik dalam pencapaian tujuan perusahaan dan dapat memberikan yang terbaik untuk pencapaian objektif bisnis. Hal-hal yang diperhatikan dalam perencanaan dan organisasi adalah: PO1. M endefinisikan sebuah rencana strategi TI. Perancanaan strategis TI diperlukan untuk mengelola dan memimpin semua sumber daya TI seiring dengan strategi dan prioritas bisnis. Fungsi Teknologi Informasi dan pemegang saham bisnis bertanggung jawab hasil yang optimal direalisasikan dari proyek dan portofolio pelayanan. Strategi dan prioritas bisnis akan tercerminkan di dalam portofolio dan dilaksanan oleh perencanaan taktis TI, yang menetapkan sasaran yang singkat, rencana tindakan dan tugas-tugas yang dimengerti dan diterima oleh kedua bisnis dan teknologi informasi. PO2. M endefinisikan arsitektur informasi. Proses ini memperbaiki kualitas keputusan manajemen dengan meyakinkan bahwa informasi yang disediakan dapat diandalkan dan aman, dan memungkinkan sumber daya sistem informasi yang masuk akal untuk membandingkan strategi bisnis secara wajar. Proses Teknologi Informasi ini juga diperlukan untuk menambah pertanggung jawaban atas integritas dan keamanan data dan untuk meningkatkan keefektifan dan kontrol untuk berbagai informasi melintasi aplikasi-aplikasi dan entitas yang memenuhi persyaratan bisnis TI.
35
PO3. M enentukan arah teknologi. Fungsi pelayanan informasi menentukan jurusan teknologi untuk membantu bisnis. Ini memerlukan kreasi dari perencanaan infrastruktur teknologi dan sebuah dewan arsitektur yang menentukan dan mengelola ekspetasi yang jelas dan realitis tentang teknologi yang mana yang dapat menawarkan berdasarkan produk, pelayan atau jasa dan mekanisme pengantaran. Rencana tersebut diperbarui secara teratur dan meliputi aspekaspek seperti arsitektur sistem, arah teknologi, rencana akuisisi, standar, strategi, dan kemungkinan berpindahan. PO4. M endefinisikan proses TI, organisasi, dan hubungannya. Organisasi teknologi informasi ditetapkan dengan mempertimbangkan syaratsyarat bagi staf, ketrampilan, fungsi, pertanggung jawaban, kekuasaan, tugas, tanggung jawab, dan pengawasan. Proses-proses, kebijakan-kebijakan administrative dan prosedur-prosedur semuanya berada pada tempatnya untuk semua fungsi, dengan perhatian spesifik untuk mengkontrol, kepastian mutu, pengelolaan resiko, keamanan informasi, kepemilikan data dan sistem, dan pemisahan tugas atau kewajiban. PO5. M engatur investasi TI. Sebuah kerangka dibuat dan dipelihara untuk mengelola program investasi Teknologi Informasi dan yang meliputi biaya, keuntungan, prioritas dalam anggaran, proses penganggaran dan pengelolaan berdasarkan anggaran yang formal. Pemegang saham dikonsultasikan untuk mengenali dan mengkontrol total biaya dan manfaat dalam konteks rencana strategis dan taktis TI, dan memulai tindakan korektif dimana diperlukan.
36
PO6. M enghubungkan arah dan tujuan manajemen. M anajemen mengembangkan kerangka kontrol enterprise Teknologi Informasi dan menetapkan serta menyampaikan kebijakan-kebijakan. Program komunikasi yang berlangsung terus-menerus dilaksanakan untuk mengutarakan misi, tujuan pelayanan, kebijakan-kebijakan, dan prosedur, yang disetujui oleh
manajemen. Komunikasi
mendukung prestasi dari tujuan TI dan menjamin kesadaran dan pengertian bisnis dan resiko, tujuan, dan arah TI. PO7. M engatur sumber daya manusia pada TI. Tenaga kerja yang kompeten diperoleh dan dipertahankan untuk kreasi dan pengantaran pelayanan TI kepada bisnis. Ini tercapai dengan mengikuti ketetapan dan penerapan yang disetujui dahulu yang membantu perekrutan, pelatihan, mengevaluasi performa, kenaikan pangkat dan pemutusan hubungan kerja. Proses ini adalah kritis, karena orang adalah aset yang penting, dan penentuan dan kontrol lingkungan internal sangat tergantung atas motivasi dan kompetensi personalia yang memenuhi persyaratan bisnis. PO8. M enjaga kualitas. Sistem M anajemen Kualitas (Quality Management System-QMS) dikembangkan dan dipelihara meliputi perkembangan dan proses akuisisi dan standar yang terbukti. Ini dapat dilaksanakan dengan perencanaan, implementasi dan mempertahankan QMS dengan memberikan persyaratan, prosedur dan kebijakan yang bermutu. Perbaikan terusmenerus dapat tercapai dengan terus-menerus mengamati, menganalisa dan bertindak pada penyimpangan-penyimpangan dan menyampaikan hasil kepada pemegang saham.
37
PO10. M engatur proyek. Sebuah program dan kerangka manajemen proyek untuk manajemen seluruh proyek TI didirikan. Kerangka tesebut menjamin prioritas dan koordinasi yang benar dari semua proyek. Kerangka tersebut termasuk rencana induk, pembagian sumber daya, definisi tugas yang telah disetujui, persetujuan oleh pemakai, pendekatan yang bertahap untuk pengantaran tugas, jaminan mutu, rencana tes resmi, pengujian dan peninjauan kembali paska-implementasi setelah instalasi untuk menjamin pengaturan resiko proyek dan nilai pengantaran kepada bisnis.
2.
Perolehan dan Implementasi (Acquire and Implement) Untuk merealisasi strategi teknologi informasi, solusi teknologi informasi
diidentifikasi, dibangun atau dibeli, diimplementasi dan diintegrasikan ke dalam proses bisnis. Hal-hal yang diperhatikan dalam perolehan dan implementasi adalah: AI1. M engidentifikasi solusi yang telah diotomatisasi. Control Objective AI 1 merupakan salah satu sasaran kontrol yang berfokus pada pengidentifikasian solusi terotomatisasi. Tujuan yang ingin dicapai pada proses ini adalah menjamin efektifitas dan efisiensi sesuai pendekatan dalam hal kepuasan pengguna. Sehingga information criteria yang harus dipenuhi meliputi effectiveness dan efficiency. Sedangkan sumber daya teknologi informasi yang terlibat dalam proses ini antara lain system aplikasi, teknologi, dan fasilitas. Proses ini meliputi kejelasan akan apa yang dibutuhkan, pertimbangan dan berbagai solusi yang ada, meninjau ulang kemampuan teknologi dan ekonomi, analisis resiko dan analisa rugi laba, serta keputusan final untuk membuat atau membeli solusi yang ada.
38
AI2. M empelajari dan memelihara software aplikasi. Control Objective AI 2 merupakan suatu proses yang mencakup rancangan aplikasi, pendekatan yang tepat atas kontrol aplikasi dan segi keamanan yang diperlukan, pengembangan dan konfigurasi yang sesuai dengan standar. Proses ini bertujuan untuk menyediakan fungsi-fungsi yang telah terotomasi dan secara efektif mampu mendukung proses bisnis. AI3. M empelajari dan memelihara infrastruktur teknologi. Control Objective AI 3 merupakan proses pengadaan dan perawatan infrastruktur teknologi dengan tujuan penyediaan berbagai platform yang tepat untuk mendukung aplikasi dalam proses bisnis terkait. Efectiveness dan efficiency serta integrity sebagai secondary priority merupakan factor-faktor information criteria yang perlu diperhatikan dalam proses bisnis ini. Sementara itu, teknologi menjadi satu-satunya sumber daya teknologi informasi yang dimungkinkan secara aplikatif pada proses ini. AI4. M engaktifkan operasi dan penggunaannya. Control Objective AI 4 merupakan proses yang membutuhkan produksi dokumentasi, dan petunjuk bagi pengguna TI, dan menyediakan pelatihan untuk memastikan penggunaan, pengoperasian aplikasi dan infrastruktur berjalan dengan sebagai mana mestinya. AI5. M emperoleh sumber daya TI. Control Objective AI 5
merupakan proses yang bertujuan untuk memperoleh
sumber daya TI yang meliputi orang, perangkat keras, perangkat lunak, dan layanan. Hal ini membutuhkan penjelasan dan pelaksanaan prosedur procure, yaitu pemilihan vendors, aturan yang disetujui dalam kontrak, dan proses akuisisi itu sendiri. Dengan
39
demikian membantu perusahaan memiliki sumber daya TI yang dibutuhkan tepat pada waktunya dan dengan biaya yang efektif. AI6. M engatur perubahan-perubahan. Control Objective AI 6 merupakan salah satu sasaran kontrol yang berfokus pada proses untuk mengelola perubahan. Perubahan yang dimaksud adalah perubahan terhadap sistem, baik secara keseluruhan maupun sebagian. Tujuan dari sasaran kontrol ini adalah untuk meminimalkan adanya kemungkinan gangguan, perubahan, dan kesalahan yang tidak terotorisasi. Effectiviness, Efficiency. Integrity dan avaibility merupakan unsur-unsur Information Criteria yang perlu diperhatikan untuk memenuhi proses ini. AI7. M emasang dan memberikan beberapa solusi dan perubahan. Control Objective AI 7 merupakan salah satu sasaran kontrol yang berfokus pada proses instalasi dan akreditasi sistem dengan memenuhi kebutuhan bisnis untuk verifikasi dan konfirmasi bahwa solusi yang diberikan sesuai dengan hasil yang diharapkan. Tujuan tersebut dapat dicapai melalui adanya realisasi suatu proses migrasi instalasi yang tepat dan sesuai, rencana konversi dan proses penerimaan yang lancar.
3.
Pengiriman dan Pendukung (Deliver and Support) Hal ini lebih dipusatkan pada penyerahan aktual dari syarat layanan dengan jarak
dari semua operasi keamanan tradisional dan aspek urutan untuk pelatihan. Hal-hal yang diperhatikan dalam pengiriman dan pendukung adalah: DS1. M endefinisikan dan mengatur tingkat pelayanan. Tujuan dilakukannya proses ini adalah memastikan kesejajaran dari kunci service TI dengan strategi service yang meliputi proses monitoring dan laporan rutin kepada
40
pemegang saham dalam penyelesaian tingkat service. Yang perlu dilakukan untuk memenuhi proses ini adalah dengan mengidentifikasikan kebutuhan service, pemahaman pada tingkat service. Proses ini dapat dicapai dengan persetujuan internal dan external yang sejalan dengan kebutuhan dan kemampuan penyampaian, melaporkan tingkat service, M engidentifikasi dan menyampaikan kebutuhan service yang baru yang telah diperbaharui untuk membuat perencanaan strategi. DS2. M engatur pelayanan bagi pihak ketiga. Tujuan dilakukan proses ini adalah supaya jasa yang diberikan oleh pihak ketiga dapat memuaskan dan memenuhi kebutuhan organisasi. Yang perlu dilakukan untuk memenuhi proses ini adalah menentukan peran dan tanggung jawab pihak ketiga, hal yang ingin didapatkan dari pihak ketiga, membangun hubungan baik denga pihak ketiga, mengelola resiko, serta mengawasi kinerjanya. Apabila proses ini dilakukan dengan baik, maka organisasi dapat meminimalkan resiko yang timbul akibat kinerja pihak ketiga yang buruk. Proses ini dapat dicapai dengan mengidentifikasi jasa supplier, resiko yang ditimbulkan oleh supplier, dan mengawasi kinerja dari supplier. DS3. M engatur kinerja dan kapasitas. Tujuan dilakukan proses ini adalah dalam mengatur kapasitas pencapaian sumber daya TI diperlukan suatu proses meninjau ulang kembali pencapaian sumber daya tersebut sekarang ini. Proses ini meliputi meramalkan kebutuhan yang diperlukan untuk masa mendatang berdasarkan apa yang dibutuhkan, penyimpangan, dan kebutuhan yang tidak diduga. Proses ini menyediakan jaminan sumber daya informasi yang selalu tersedia yang mendukung kebutuhan bisnis secara terus-menerus. Proses ini dapat dicapai dengan merencanakan serta mengembangkan kapasitas dan kemampuan,
41
mengawasi dan melaporkan pencapaian dari sistem, meramalkan pencapaian dari sistem dimasa mendatang. DS4. Layanan. Tujuan dilakukan proses ini adalah untuk mengembangkan, memelihara, menguji perencanaan kesinambungan TI, memanfaatkan penggunaan offsite backup storage dan menyediakan pelatihan secara periodik dan berkala. Suatu jasa yang efektif dapat memperkecil proses dari dampak gangguan TI dalam kunci fungsi bisnis dan proses tersebut. Proses ini dapat dicapai dengan mengembangkan serta memelihara kontinuitas TI, pelatihan dan pengujian rencana kontinuitas TI, penyimpanan salinan rencana dan data dalam suatu lokasi tertutup. DS5. M emastikan keamanan sistem. Tujuan dilakukan proses ini adalah untuk mengatur integritas informasi dan menjaga aset-aset yang diperlukan dalam proses manajemen keamanan. Proses ini meliputi menetapkan dan memelihara peran keamanan TI dan pertanggung-jawaban, kebijakan-kebijakan, ukuran-ukuran dan prosedur-prosedur. Proses ini dapat dicapai dengan memahami kebutuhan keamanan, kelemahan sistem dan ancaman-ancaman, megatur identitas pengguna dan otorisasi dalam metode standarisasi, dan pengujian keamanan secara berkala. DS6. M engidentifikasi dan mengalokasikan biaya. Tujuan dari proses ini adalah menciptakan kebutuhan untuk sistem yang baik untuk mengalokasikan biaya TI untuk bisnis memerlukan pengukuran biaya TI yang tepat dan persetujuan dengan pengguna bisnis dalam pengalokasian yang baik. Proses ini meliputi membangun dan menjalankan sistem untuk mengetahui, mengalokasikan dan melaporkan biaya TI kepada pengguna jasa. Proses ini dapat diwujudkan dengan
42
membangun dan menyetujui pada model biaya perusahaan, menyetarakan kualitas dan jumlah dari service yang ada, mengimplementasikan proses berdasarkan persetujuan kebijakan. DS7. M emberikan pendidikan dan pelatihan kepada pengguna. Tujuan proses bisnis ini adalah agar pengguna dapat menggunakan sistem dengan efektif dan efisien, serta memastikan pengguna sistem mematuhi prosedur dan kebijakan yang berlaku. Proses ini dapat diwujudkan
dengan membuat materi pelatihan,
mengadaan pelatihan, serta meninjau ulang hasil pelatihan tersebut apakah membawa pengaruh yang berarti terhadap kinerja pengguna sistem. DS8. M engatur bagian TI yang bertanggung jawab dan mencegah terjadinya kesalahan. Tujuan proses bisnis ini adalah menghasilkan respon secara berkala dan efektif untuk menanggapi berbagai pertanyaan pengguna TI dan
masalah-masalah,
memerlukan pelayanan yang baik dan pelaksanaan yang baik. Proses ini dapat diwujudkan dengan menginstal dan mengoperasikan bagian service, memantau dan melaporkan, menggambarkan prosedur dan kriteria peningkatan yang baik. DS10. M engatur masalah. M anajemen masalah-masalah yang efektif memerlukan identifikasi dan klasifikas i dari masalah-masalah proses manajemen masalah meliputi rekomendasi perumusan masalah untuk perbaikan, pemeliharaan catatan-catatan masalah, mereview status dari tindakan penyelesaian. Proses ini terfokus pada mencatat, memantau, dan menyelesaikan masalah-masalah operasional, investigasi sumber sebab dari semua masalah yang penting dan menggambarkan solusi untuk identifikasi masalah operasi. Proses ini dapat diwujudkan dengan menjalankan analisis sumber masalah pada laporan masalah-
43
masalah, menganalisis petunjuk-petunjuk, mengambil alih masalah-masalah, dan menjalankan penyelesaian masalah. DS11. M engatur data. M anajemen data yang efektif memerlukan identifikasi data yang penting. Proses manajemen data juga meliputi pembentukan prosedur yang efektif untuk mengatur dokumen-dokumen, menyimpan dan memperoleh kembali data. M anajemen data yang efektif
membantu menentukan kualitas, ketepatan waktu dan ketersediaan dari data
bisnis. Proses ini terfokus pada pemeliharaan kelengkapan, ketepatan, ketersediaan dan perlindungan data. Proses ini dapat terwujud dengan back-up data dan pengujian tempat penyimpanan, mengatur penyimpanan data, internal dan eksternal, keamanan ditribusi data dan peralatan. DS12. M engatur lingkungan. Perlindungan terhadap peralatan komputer dan perangkat-perangkat lainnya memerlukan fasilitas fisik dengan perancangan yang baik dan pengaturan yang baik. Proses ini terfokus untuk menetapkan dan memelihara lingkungan fisik yang tepat untuk melindungi aset-aset TI dari akses, kerusakan atau pencurian. Proses ini dapat terwujud dengan mengimplementasikan kematangan keamanan fisik dan memilih dan mengatur fasilitas. DS13. M engatur operasi. M emproses data yang lengkap dan akurat memerlukan manajemen yang efektif dari prosedur-prosedur pemrosesan data dan pemeliharaan yang baik pada hardware. Proses ini terfokus untuk menemukan mutu service operasional untuk penjadwalan pemrosesan data, menjaga hasil keluaran, memantau, dan memelihara infrastruktur. Proses ini dapat tercapai dengan mengoperasikan lingkungan TI dengan baik dengan
44
berdasarkan pada mutu service dan menjalankan instruksi-instruksi serta memelihara infrastruktur TI. 4.
Pemantauan dan Evaluasi (Monitor and Evaluate) Yaitu semua proses teknologi yang perlu dinilai secara teratur agar kualitas dan kelengkapannya berdasarkan pada syarat kontrol. Hal-hal yang diperhatikan dalam pemantauan dan evaluasi adalah:
M E1. M emonitor dan mengevaluasi kinerja TI. M anajemen kemampuan TI yang efektif memerlukan proses pemantauan. Proses ini meliputi menggambarkan petunjuk-petunjuk kemampuan yang relevan, sistematis dan laporan secara berkala dari kemampuan dan tindakan yang cepat atas penyimpangan. Proses ini terfokus pada memantau dan melaporkan proses-proses matrik dan mengidentifikasi serta mengimplementasi kemampuan dari tindakan penyelesaian. Proses ini dapat tercapai dengan menyusun dan menerjemahkan proses laporan kemampuan ke dalam laporan manajemen. M E4. M enyediakan IT Governance. M embangun kerangka kerja governance yang efektif meliputi mengidentifikas i struktur organisasi, berbagai proses, kepemimpinan, peran, dan tanggung jawab untuk memastikan bahwa investasi-investasi TI perusahaan telah berlangsung di dalam kesesuaian dengan strategi dan objektivitas perusahaan. Proses ini terfokus pada mempersiapkan laporan komite pada strategi TI, kemampuan dan resiko-resiko dan merespon kebutuhan governance yang berjalan dengan peraturan komite. Proses ini dapat tercapai dengan membangun integrasi kerangka kerja IT governance menjadi Corporate governance.
45
2.6.6 Measurement Driven CobIT menyediakan beberapa pengukuran : 1.
Performance goals and metric for IT process M enunjukan bagaimana proses dapat memenuhi tujuan bisnis dan TI, serta
digunakan untuk mengukur performa proses internal dengan berdasarkan pada prinsip balance scorecard. Tujuan dari matriks didefinisikan dalam CobIT pada 3 tingkatan: a.
Tujuan TI dan matriks yang mendefinisikan apa yang diharapkan dari TI (menyangkut apa yang digunakan perusahaan untuk mengukur TI).
b.
Tujuan dan matriks proses yang mendefinisikan apa yang harus dilakukan proses TI untuk mendukung tujuan TI (menyangkut bagaimana pengukuran dilakukan).
c.
Proses performa matriks (menyangkut seberapa baik performa perusahaan ketika tujuan tercapai). CobIT menggunakan 3 tipe matriks dalam pengukuran performa ini, yaitu:
a.
Key Goal Indicator (KGI) M endefinisikan pengukuran yang memberitahukan manajemen apakah proses TI telah mencapai kebutuhan bisnis perusahaan atau tidak.
b.
Key Performance Indicator (KPI) M enjelaskan pengukuran yang memberitahukan seberapa baik proses TI telah dilaksanakan untuk mencapai tujuan perusahaan.
c.
Activity goals Untuk memampukan proses bisnis yang efektif.
46
2.7
Financial Perspective Ada tiga komponen umum yang dikandung dalam konsep financial perspective, yaitu : 1. Provide a good return on investment of IT –enabled business investments (memberikan pengembalian investasi TI – diaktifkan investasi
bisnis)
maksudnya adalah dengan adanya investasi IT dalam perusahaan diharapkan dapat memberikan hasil pengembalian dari investasi IT yang telah dilakukan. 2. Manage IT-related business risk (mengelola resiko bisnis yang berkaitan dengan IT) maksudnya adalah mengelola resiko bisnis yang mungkin terjadi karena adanya penggunaan IT didalam perusahaan. Sehingga resiko yang ada dapat diminimalisasikan. 3. Improve corporate governance and transparency (meningkatkan tata kelola perusahaan dan transparansi) maksudnya adalah meningkatkan pengelolaan IT dalam perusahaan agar dapat dikelola semaksimal mungkin, dan dapat memberikan hasil yang jelas berkaitan dengan keuangan perusahaan.
