7
BAB 2 LANDAS AN TEORI
2.1
Teori Umum 2.1.1
Pengertian Sistem M enurut O’Brien (2005, p8), sistem adalah suatu kumpulan dari komponen yang berhubungan yang bekerja bersama untuk mencapai suatu tujuan dengan menerima input dan menghasilkan output melalui suatu proses transformasi yang terorganisasi. M enurut Gondodiyoto dan Hendarti (2006, p94), sistem adalah komponen elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu, dan bertujuan untuk mencapai tujuan tertentu. Dari beberapa definisi yang telah diuraikan di atas dapat disimpulkan sistem adalah kumpulan dari satu atau lebih komponen yang saling berkaitan untuk mencapai suatu tujuan tertentu dengan cara memproses input sehingga menghasilkan suatu output.
2.1.2
Pengertian Informasi M enurut O’Brien (2005, p13), informasi adalah data yang ditempatkan pada suatu konteks yang berarti dan berguna untuk end user dari suatu sistem.
8
M enurut Wilkinson (2000, p5), informasi adalah inteligen yang berarti dan berguna untuk orang-orang yang terlibat di dalamnya. Informasi bernilai bagi perusahaan dan manajer-manajernya karena berperan penting dalam pembuatan keputusan dan mempengaruhi tindakan yang diinginkan. Biasanya informasi dihasilkan dari pemrosesan data. Data adalah fakta dan gambaran dasar dan bahkan simbol-simbol yang bersama-sama membentuk input menjadi suatu sistem informasi. Berdasarkan beberapa definisi di atas, maka dapat disimpulkan bahwa informasi adalah data yang telah diproses dan diorganisasikan kemudian ditempatkan dalam suatu konteks tertentu sehingga dapat berguna bagi end user dari suatu sistem dalam mengambil keputusan.
2.1.3
Pengertian Sistem Informasi Pengertian sistem informasi menurut O’Brien (2005, p16), adalah suatu kombinasi yang terorganisasi yang terdiri dari manusia, perangkat keras,
perangkat
lunak,
jaringan
komunikasi,
dan
data
yang
mengumpulkan, melakukan transformasi, dan mendistribusikan informasi di dalam suatu organisasi. M enurut Gondodiyoto (2007, p112), menyatakan bahwa sistem informasi dapat didefinisikan sebagai kumpulan elemen-elemen/sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam hubungan hierarki tertentu, dan bertujuan untuk mengolah data menjadi informasi.
9
Jadi, secara keseluruhan dapat disimpulkan sistem infomasi adalah komponen yang saling berhubungan yang terdiri dari manusia, perangkat keras, perangkat lunak, jaringan komunikasi, dan data yang dapat menghasilkan informasi yang digunakan oleh suatu organisasi untuk mencapai tujuan yang ditetapkan.
2.1.4
Pengertian Sistem Informasi Penjualan M enurut Niswonger (2001, p15), sistem informasi penjualan adalah suatu pembuatan pernyataan penjualan, kegiatan akan dijelaskan melalui prosedur-prosedur yang meliputi urutan
kegiatan
sejak
diterimanya pesanan dari pembeli, pengecekan barang ada atau tidak ada dan diteruskan dengan pengiriman barang yang disertai dengan pembuatan faktur dan mengadakan pencatatan atas penjualan yang berlaku. M enurut Hall (2001, p7), sistem informasi penjualan adalah sebuah rangkaian prosedur formal dimana data penjualan dikumpulkan, diproses menjadi informasi penjualan dan didistribusikan kepada para pemakai. Berdasarkan definisi di atas maka dapat di simpulkan bahwa Sistem Informasi Penjualan adalah suatu sistem informasi yang mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk menghasilkan, menganalisa,
menyebarkan dan memperoleh
informasi guna mendukung pengambilan keputusan mengenai penjualan.
10
2.1.5
Pengertian Evaluasi M enurut Stark & Thomas (1994, p12), evaluasi merupakan suatu proses atau kegiatan pemilihan, pengumpulan, analisis dan penyajian informasi yang dapat digunakan sebagai dasar pengambilan keputusan serta penyusunan program selanjutnya. M enurut Umar (2005, p36), evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauh mana kegiatan tertentu telah dicapai,bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih di antara keduanya serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh. Jadi dapat disimpulkan bahwa evaluasi merupakan teknik penilaian suatu implementasi sistem atau suatu kegiatan tertentu apakah telah sesuai dengan yang diharapkan dan telah mencapai tujuan yang telah ditetapkan sebelumnya dengan menggunakan standar yang berlaku, yang dilakukan secara berkala melalui metode yang tepat.
2.1.6
Object Oriented Analysis & Design (OOAD) M enurut Whitten et al. (2004, p27), Object Oriented Analysis and Design (OOAD) merupakan kumpulan alat dan teknik mengembangkan sistem dengan menggunakan teknologi objek untuk membuat sebuah sistem dan programnya.
11
M enurut M athiassen et al. (2000, p3-4), Object Oriented Analysis and Design (OOAD) merupakan metode untuk menganalisa dan merancang suatu sistem informasi dengan menggunakan objek dan class sebagai konsep dasarnya. Berdasarkan pengertian di atas dapat disimpulkan bahwa Object Oriented Analysis and Design (OOAD) adalah sekumpulan teknik yang menggunakan objek dan class sebagai konsep dasar untuk menganalisa dan mengembangkan sistem informasi.
2.1.7
UML Activity Diagram M enurut Jones dan Rama (2006, p61), UML activity diagram mempunyai peranan penting dari suatu “peta (map)” di dalam memahami proses bisnis dengan menunjukkan urutan aktivitas pada proses. M enurut Jones dan Rama (2006, p61), activity diagram dibagi menjadi dua yaitu : 1. Overview Activity Diagram M enurut Jones dan Rama (2006, p61), overview activity diagram adalah diagram yang menampilkan gambaran level tertinggi dari proses bisnis dengan mendokumentasikan event-event yang penting, urutan event-event tersebut, dan aliran informasi yang menyertai event tersebut.
12
M enurut Jones dan Rama (2006, p65), dalam menyiapkan overview activity diagram terdapat langkah-langkah sebagai berikut: a. M embaca narasi dan mengidentifikasi event-event yang penting. b. M encatat narasi secara jelas untuk mengidentifikasi event-event yang terlibat di dalamnya. c. M enggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi. d. M embuat diagram masing-masing event dan menunjukkan urutan event yang terjadi. e. M enggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut. f. M enggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut.
2. Detailed Activity Diagram M enurut Jones dan Rama (2006, p61), detailed activity diagram adalah diagram yang menggambarkan aktivitas yang saling berhubungan secara detail atau rinci dengan satu atau dua event yang terdapat pada overview diagram.
13
M enurut Jones dan Rama (2006, p62), simbol-simbol yang digunakan dalam activity diagram adalah: a. Swimlane Swimlane adalah sebuah kolom dalam activity diagram yang memisahkan aktivitas atau event berdasarkan orang atau departemen yang bertanggung jawab atas aktivitas atau event yang berhubungan. Agen-agen di luar organisasi (seperti konsumen) ditampilkan dalam swimlane. Sistem komputer digunakan untuk mencatat dan memproses data SIA ditampilkan dalam sebuah swimlane.
b. A solid circle Sebuah lingkaran berisi menunjukkan awal dari proses. Ini muncul dalam swimlane agen (dalam maupun luar perusahaan) yang memulai proses.
c. Rounded Rectangle Event, aktivitas, atau penggerak yang terjadi dalam aktivitas diagram.
14
d. Continuous Line Garis panah menunjukkan urutan dari event.
e. Document Kita menggunakan
simbol
dokumen
untuk
menampilkan
dokumen sumber dan laporan-laporan.
f. Dotted line Garis panah putus-putus menunjukkan arus informasi antara event. Garis putus-putus digunakan untuk menghubungkan event dan tabel untuk menunjukkan bagaimana tabel data dibuat dan digunakan oleh event.
g. Table Data dapat dibaca dari atau dicatat dalam komputer selama event bisnis.
h. Bull’s-eye Sebuah sasaran menunjukkan akhir dari proses.
2.1.8
Pengertian Sistem Pengendalian Internal M enurut Jones and Rama (2003, p75), pengendalian internal merupakan peraturan, kebijakan dan sistem informasi yang digunakan
15
untuk menjamin bahwa data keuangan perusahaan adalah akurat dan untuk melindungi aset perusahaan dari kerugian atau pencurian. M enurut Romney dan Steinbart (2003, p195), pengendalian internal merupakan rencana organisasi dan metode yang digunakan oleh bisnis untuk menjaga aset, menyediakan informasi yang akurat dan dapat diandalkan, mempromosikan dan meningkatkan efisiensi operasional dan meningkatkan ketaatan terhadap aturan–aturan manajemen. Jadi dapat disimpulkan bahwa sistem pengendalian internal adalah suatu sistem yang akan mengendalikan hal-hal yang berhubungan dengan internal suatu organisasi dalam proses yang berjalan untuk mencegah, mendeteksi adanya kesalahan/kekeliruan yang dapat menyebabkan kerugian dan mengoreksi adanya kesalahan dan data yang rusak agar dapat mengendalikan proses dan kegiatan yanga terjadi sehari-hari dalam organisasi.
2.1.8.1 Tujuan Sistem Pengendalian Internal M enurut Wilkinson et al. (2000, p235), kebijakan dan prosedur
sistem
pengendalian
internal
digunakan
untuk
mempertahankan informasi yang akurat dan operasi yang handal. Pengendalian internal dimaksudkan untuk mencapai tujuan tertentu dari organisasi. Tujuan organisasi dibagi menjadi tiga kategori yaitu: 1. Efektivitas dan efisiensi operasi 2. Reliabilitas pelaporan keuangan
16
3. Kompliansi dengan hukum dan peraturan berlaku. M enurut
Gondodiyoto
(2007,
p260),
tujuan
sistem
pengendalian internal adalah: 1. M eningkatkan pengamanan (improve safeguard) asset sistem informasi data/catataan akuntasi (accounting records) yang bersifat logikal assets, maupun physical assets seperti hardware, infrastrcutures, dan sebagainya. 2. M eningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan kosisten akan dapat dibuat laporan yang benar. 3. M eningkatkan efektifitas sistem (improve system effectiveness). 4. M eningkatkan efisiensi sistem (improve system efficiency).
2.1.8.2 Komponen Pengendalian Internal M enurut Weber (1999, p94), internal controls comprise five interrelated components : 1. Control Environment Pengendalian lingkungan ini mewujudkan dalam filsafat manajemen dan cara pengoperasian, cara pembagian wewenang dan tanggung jawab yang harus ditentukan, cara fungsi komite audit, metode-metode yang digunakan untuk merencanakan dan mengawasi kinerja.
17
2. Risk Assessment Komponen untuk mengidentifikasi dan manganalisis resiko yang dihadapi oleh perusahaan dan cara-cara untuk mengatasi resiko tersebut. 3. Control Activities Komponen yang beroperasi untuk memastikan transaksi telah diotorisasi, adanya pembagian tugas, dokumen yang memadai, dan record dipelihara, aset dan record yang dilindungi, serta cek bebas dalam kinerja dan penilaian jumlah yang ada dicatat. 4. Information and Communication Komponen dimana informasi diindentifikasi, ditangkap, dan ditukar tepat pada waktunya dan formulir yang tepat untuk mengijinkan personil melaksanakan tanggung jawab mereka dengan sebagaimana mestinya. 5. Monitoring Komponen yang memastikan
pengendalian
internal
beroperasi sebagaimana mestinya.
2.1.8.3 Jenis Pengendalian Internal komputer M enurut Gondodiyoto (2007, p251), pengendalian internal digolongkan dalam general control dan special atau application controls.
18
1. General control (pengendalian umum) Adalah pengendalian yang berlaku untuk seluruh kegiatan komputerisasi pada suatu organisasi. Seringkali pengendalian umum juga disebut pengendalian dari sudut pandang atau persektif manajemen. Pengedalian umum dapat diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi tertentu. 2. Application control (pengendalian aplikasi atau pengendalian khusus) Adalah pengendalian yang dirancang khusus untuk aplikasi tertentu. Seringkali pengendalian ini sering disebut pengendalian persektif teknis. Pengendalian aplikasi sering disebut juga pengendalian transaksi, karena di design berkaitan dengan transaksi aplikasi tertentu.
2.1.9
Pengertian S truktur Organisasi Organisasi menurut Stoner (1994, p43), adalah suatu pola hubungan-hubungan
yang melalui mana orang-orang di bawah
pengarahan manajer mengejar tujuan bersama. Organisasi menurut Chester I. Bernard dalam terjemahan Yayat Hayati (2002, p17), merupakan suatu sistem aktivitas kerja sama yang dilakukan oleh dua orang atau lebih.
19
Berdasarkan beberapa definisi di atas, maka dapat disimpulkan bahwa struktur organisasi adalah susunan komponen-komponen (unitunit kerja) dalam organisasi yang terdiri dari dua orang atau lebih dibawah suatu pengarahan untuk mencapai suatu tujuan bersama.
2.1.10 Metodologi Pengumpulan Data 2.1.10.1 S tudi Kasus dan Lapangan M erupakan penelitian
dan
karakteristik
masalah
yang
berkaitan dengan latar belakang dan kondisi saat ini dari subjek yang diteliti, serta interaksinya dengan lingkungan. Tujuannya adalah melakukan penyelidikan secara mendalam mengenai subjek tertentu untuk memberikan gambaran yang lengkap mengenai subjek tertentu.
2.1.10.2 Wawancara M enurut Esterberg yang dikutip oleh Sugiyono (2007, p317), wawancara adalah pertemuan antara 2 orang atau lebih untuk bertukar informasi dan ide melalui tanya jawab sehingga dapat dikontruksikan makna dalam suatu topik tertentu.
20
M enurut Usman dan Akbar (2003,
p52), wawancara
merupakan suatu pola yang dikhususkan dari interaksi verbaldiprakarasi untuk tujuan tertentu, dan difokuskan pada sejumlah bidang tertentu, dengan proses eliminasi materi yang tidak ada kaitannya secara berkelanjutan. Jadi dapat disimpulkan bahwa wawancara merupakan suatu proses komunikasi antar 2 orang atau lebih yang memiliki tujuan tertentu dan melibatkan proses tanya jawab.
2.1.10.3 Observasi M enurut Purwanto (2008 , p36), observasi adalah metode atau cara-cara yang menganalisis dan mengadakan pencatatan secara sistematis mengenai tingkah laku dengan melihat atau mengamati individu atau kelompok secara langsung. M enurut pengertian yang diungkapkan oleh Usman dan Akbar (2003, p54), observasi adalah pengamatan yang sistematis terhadap gejala-gejala yang diteliti. Jadi dapat disimpulkan bahwa observasi adalah teknik paling mendasar dalam teknik penilaian non testing. Observasi akan menghasilkan data yang merangsang dilakukanya hipotesis tentatif tentang individual dan meyakinkan hipotesis yang lain.
21
2.1.11 Pengertian Visi M enurut Sarwoto (2008, p68), visi adalah suatu pernyataan tentang gambaran keadaan dan karakterisitik yang ingin dicapai oleh suatu lembaga pada jauh di masa yang akan datang. M enurut Wibisono (2006, p43), visi merupakan rangkaian kalimat yang menyatakan cita-cita atau impian sebuah organisasi atau perusahaan yang ingin dicapai di masa depan. Jadi dapat disimpulkan bahwa visi adalah penyatuan tujuan, arah dan sasaran perusahaan untuk pemanfaatan dan alokasi sumber daya serta pengendaliannya.
2.1.12 Pengertian Misi M enurut Sarwoto (2008, p69), misi adalah pernyataan tentang apa yang harus dikerjakan oleh lembaga dalam usahanya mewujudkan Visi. M enurut Wibisono (2006, p44), pada dasarnya misi merupakan alasan mendasar eksistensi suatu organisasi. Jadi dapat disimpulkan bahwa misi adalah sebuah petunjuk yang membantu untuk menemukan arah dan menunjukkan jalan yang tepat bagi perusahaan saat ini.
22
2.1
Teori Khusus 2.2.1
Pengertian Pengendalian Pengendalian
menurut
Usry
dan
Hammer
(1994,
p5),
mengemukakan bahwa pengendalian merupakan usaha sistematik perusahaan untuk mencapai tujuan dengan cara membandingkan prestasi kerja dengan rencana dan membuat tindakan yang tepat untuk mengoreksi perbedaan yang penting. Pengendalian menurut Glenn A.Welsh, Hilton, dan Gordon yang diterjemahkan oleh Purwatiningsih dan M audy Warouw (2000, p3), adalah pengendalian adalah suatu proses untuk menjamin terciptanya kinerja yang efisien yang memungkinkan tercapainya tujuan perusahaan. Berdasarkan beberapa definisi di atas, maka dapat disimpulkan bahwa pengendalian adalah usaha untuk membandingkan prestasi kinerja dengan rencana dan mengkoreksikan perbedaan atau penyimpanganpenyimpangan yang terjadi agar tujuan perusahaan dapat tercapai.
2.2.2
Pengendalian di Lingkungan Komputer M enurut Weber (1999, p6-10), ada 7 penyebab perlunya pengendalian dan audit terhadap komputer, yaitu: 1. Organizational costs of data lost Data merupakan sumber daya yang sangat diperlukan oleh sebuah organisasi untuk melanjutkan operasionalnya.
23
Kehilangan data dapat menimbulkan ketidakmampuan kontrol terhadap pemakaian komputer. M anajemen yang tidak menyediakan back-up yang memadai terhadap file komputer, akan menyebabkan kehilangan file data. Kehilangan ini dapat terjadi karena program komputer yang rusak, adanya sabotase, atau adanya kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga pada akhirnya membuat kelanjutan operasional organisasi itu menjadi terganggu. 2. Incorrect decision making Pentingnya data yang akurat tergantung kepada jenis kebutuhan yang akan dibuat oleh orang-orang yang berkepentingan disuatu organisasi. Pentingnya peraturan-peraturan keputusan yang akurat dalam sistem komputer juga tergantung kepada jenis keputusan yang akan dibuat oleh orang-orang yang berkepentingan disuatu organisasi. 3. Cost of Computer abuse Hal utama yang mendorong diperlukannya pengembangan fungsi
audit
sistem
informasi
dalam
organisasi
adalah
penyalahgunaan komputer. 4. Value of computer hardware, software, and personnel Selain data, hardware, dan software, personal komputer juga merupakan sumber daya yang sangat penting bagi suatu organisasi. Walaupun investasi hardware perusahaan sudah dilindungi oleh
24
asuransi tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengganggu jalannya operasional dan bila software dicuri orang maka informasi yang rahasia dapat dijual kepada pesaing. Personal adalah sumber daya paling berharga, mereka harus dididik dengan baik agar menjadi tengah di bidang komputer yang profesional. 5. High cost of computer error Saat ini pemakaian komputer secara otomatis dilakukan dalam banyak fungsi kritis pada kehidupan kita. Akibatnya, biaya kerugian akan kerusakan komputer, kehilangan kebebasan, atau kerusakan lingkungan menjadi tinggi. 6. Maintenance of privacy Banyak data yang saat ini dapat diperoleh dengan cepat. Dengan adanya komputerisasi kependudukan maka data seseorang dapat segera diketahui termasuk hal-hal pribadi yang seharusnya menjadi rahasia pribadi seseorang. Pemakaian data komputer yang tidak seharusnya dapat mengakibatkan orang-orang kehilangan privacy-nya. 7. Controlled Evaluation of computer use Penggunaan
teknologi,
bagaimanapun
juga
dapat
menghasilkan masalah-masalah sosial utama. Pada penjelasan ini, penting, keputusan harus dilakukan secara terus-menerus tentang bagaimana komputer seharusnya digunakan dalam kehidupan kita.
25
Pemerintah, organisasi,
badan-badan dan
setiap
profesional,
orang
harus
kelompok-kelompok,
memperhatikan
dengan
mengevaluasi dan mengawasi bagaimana kita mengembangkan teknologi komputer.
2.2.3
Pengertian CobIT M enurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko binis, kebutuhan kontrol dan masalah-masalah teknis TI. CobIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informas i yang dikembangkan dan dipromosikan oleh Institut IT Governance. CobIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). CobIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan. CobIT di terbitkan oleh Institut IT Governance. Pedoman CobIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI
26
secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen CobIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI CobIT. Alat-alat tersebut yaitu : 1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI) 2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI 3. M odel maturity untuk
membantu
dalam benchmarking dan
pengambilan keputusan bagi peningkatan kemampuan
Komponen CobIT terdiri dari Executive Summary, Framework, Control
Objective,
Audit
Management Guidelines.
Guidelines,
Implemenation
Tool
Set,
27
Gambar 2.1 : CobIT Processes Defined Within the Four Domains Sumber: ITGI-CobIT 4.1th edition (2007, p26)
2.2.4 Misi dan Visi CobIT CobIT
memiliki
misi
melakukan
riset,
mengembangkan,
mempublikasikan, dan mempromosikan makalah-makalah, serta mengupdate tatanan atau ketentuan TI controls objective yang dapat diterima
28
umum (generally accepted control Objective) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control Objective dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya. Sedangkan visi dari CobIT adalah dijadikan CobIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
2.2.5
Kerangka kerja CobIT CobIT merupakan IT governance best practices yang membantu auditor, manajemen, pengguna (user) untuk menjembatani aspek bisnis, kebutuhan kontrol dan aspek teknis TI. CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan users, diharapkan dapat memanfaatkan guidelines ini dengan baik.
M enurut Gondodiyoto (2007, p279) kerangka kerja CobIT terdiri atas beberapa arahan (guidelines) yaitu: 1. Control Objective Terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control Objective) yang tercermin dalam 4 domain, yaitu: planning &
29
organization, acquisition & implementation, delivery & support, dan monitoring. 2. Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control Objective) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan. 3. Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaanpertanyaan berikut: -
Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya?
-
Apa saja indikator untuk suatu kinerja yang bagus?
-
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors)?
-
Apa saja risiko yang timbul bila sasaran yang ditentukan tak tercapai?
-
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan?
-
Bagaimana mengukur keberhasilan dan menilainya? Konsep dasar dari kerangka kerja CobIT adalah bahwa kontrol
terhadap sistem informasi dapat ditentukan dengan cara menentukan informasi-informasi yang dibutuhkan untuk mendukung objektif bisnis.
30
Setelah informasi ini ditentukan kemudian ditentukan sebuah kebijakan kontrol terhadap informasi-informasi ini. Informasi yang dikontrol adalah informasi tentang sumber daya yang terkait dengan proses-proses sistem informasi.
Gambar 2.2 : Prinsip Dasar CobIT Sumber : ITGI-CobIT 4.1th edition (2007, p10)
Dengan demikian dapat disimpulkan sumber daya TI (IT Resources) dikelola oleh proses TI (IT Processes) untuk mencapai tujuan TI yang menanggapi tujuan bisnis. Secara keseluruhan, CobIT dapat dipandang sebagai sebuah kubus yang terdiri dari 3 dimensi yaitu: Information Criteria, IT Resource, dan IT Processes.
31
Gambar 2.3 : Kubus CobIT Sumber : ITGI-CobIT 4.1th edition (2007, p25)
2.2.5.1 IT Resource IT Resource adalah sumberdaya yang berkaitan dengan Teknologi Informasi. IT resource terdiri dari beberapa hal sebagai berikut: a. Application Application meliputi aplikasi yang digunakan untuk mengelola informasi dalam menjalankan proses bisnis. b. Information Information merupakan data yang diinput, diproses dan dihasilkan oleh sistem informasi untuk bisnis.
32
c. Infrastructure Infrastrucuture merupakan teknologi yang mendukung proses aplikasi. Contohnya: perangkat keras, sistem operasi, sistem manajemen database, jaringan, multimedia, serta perangkat lainnya yang mendukung. d. People Orang merupakan personil yang dibutuhkan untuk merencanakan, mengorganisasi, memperoleh, mengimplementasi, memberikan, mendukung, memonitor dan mengevaluasi sistem informasi.
2.2.5.2 Information Criteria Untuk mencapai tujuan organisasi secara memuaskan, informasi harus memenuhi beberapa kriteria. CobIT telah menetapkan kriteria tersebut dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. CobIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model-model yang sudah ada, dan merumuskannya kedalam tiga kategori utama, yaitu: kualitas (quality), tanggung jawab fidusier (fiduciary responsibility) dan keamanan (security). Berdasarkan tiga persyaratan di atas, muncul tujuh kategori yang saling terkait satu sama lain, dan dijadikan sebagai kriteria untuk mengevaluasi sumberdaya teknologi informas i yang dapat memenuhi
33
kebutuhan organisasi atau perusahaan akan suatu informasi. Kriteria dimaksud adalah : a. Efektivitas (Effectiveness), untuk memperoleh informasi yang relevan
dan
berhubungan
dengan
proses
bisnis
seperti
penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. b. Efisiensi (Efficiency), memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal. c. Kerahasiaan (Confidentiality), memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. d. Integritas (Integrity), berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. e. Ketersediaan (Availability), berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. f. Kepatuhan (Compliance), sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. g. Keakuratan informasi (Reliability of Information), berhubungan dengan
ketentuan
kecocokan
informasi untuk
manajemen
mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.
34
2.2.5.3 IT Processes Kerangka kerja CobIT terdiri atas kontrol objektif dan semua struktur yang sesuai dengan klasifikasinya. CobIT merupakan panduan yang paling lengkap dari praktikpraktik terbaik untuk manajemen TI yang mencakup empat domain, yaitu: perencanaan dan organisasi, akuisisi dan implementasi, penyerahan dan dukungan TI, dan monitor. CobIT Framework mencakup tujuan pengendalian yang terdiri dari 4 domain yaitu: 1. Plan & Organize Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari berbagai perspektif).
2.
Acquire & Implement Yaitu untuk merealisasikan strategi TI, perlu diatur kebutuhan
TI,
diimplementasikan perusahaan.
diidentifikasi, secara
terpadu
dikembangkan, dalam
proses
atau bisnis
35
3.
Delivery & Support Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI actual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).
4. Monitor & Evaluate Yaitu semua proses TI yang perlu dinilai secara berkala agar
kualitas
dan
tujuan
dukungan
TI
tercapai,
dan
kelengkapannya berdasarkan pada syarat internal kontrol yang baik.
2.2.6
Domain Plan and Organize (PO) a. Control Objective PO1 (Define a Strategic IT Plan) b. Control Objective PO2 (Define the Information Architecture) c. Control Objective PO3 (Determine Technological Direction) d. Control Objective PO4 (Define the IT Processes, Organization and Relationship) e. Control Objective PO5 (Manage the IT Investment) f. Control Objective PO6 (Communicate Management Aims and Direction) g. Control Objective PO7 (Manage IT Human Resources) h. Control Objective PO8 (Manage Quality)
36
i. Control Objective PO10 (Manage Projects) 2.2.7
Domain Acquire and Implement (AI) a. Control Objective AI1 (Identify Automated Solutions) b. Control Objective AI2 (Acquire and Maintain Application Software) c. Control
Objective
AI3
(Acquire
and
Maintain
Technology
Infrastructure) d. Control Objective AI4 (Enable Operation and Use) e. Control Objective AI5 (Procure IT Resoureces) f. Control Objective AI6 (Manage Changes) g. Control Objective AI7 (Install and Accredit Solutions and Changes) 2.2.8
Domain Delivery and Support (DS) a. Control Objective DS1 (Define and Manage Service Levels) b. Control Objective DS2 (Manage Thrird-Party Services) c. Control Objective DS3 (Manage Performance and Capacity) d. Control Objective DS4 (Ensure Continuous services) e. Control Objective DS5 (Ensure Systems Security) f. Control Objective DS6 ( Identify and Allocate Costs) g. Control Objective DS7 (Educate and Train Users) h. Control Objective DS8 (Manage Services Desk and Incidents) i. Control Objective DS10 (Manage Problems) j. Control Objective DS11 (Manage Data) k. Control Objective DS12 (Manage the Physical Environment) l. Control Objective DS13 (Manage Operations)
37
2.2.9
Domain Monitor and Evaluate (ME) a. Control Objective ME1 (Monitor and Evaluate IT Performance) b. Control Objective ME4 (Provide IT Governance)
2.2.10 CobIT Measurement Driven Gondodiyoto (2007, p66-68), menyatakan bahwa pendekatan yang sering dipakai untuk melakukan penilaian terhadap pengelolaan suatu sistem informasi adalah dengan menggunakan konsep maturity model yang dikembangkan oleh ISACA. M engerti akan
status
sistem TI
perusahaan
dan
untuk
memutuskan tingkat manajemen dan pengendalian yang harus disediakan merupakan suatu kebutuhan dasar bagi perusahaan. Perusahaan perlu untuk mengukur posisi tingkat manajemen mereka. Maturity model dapat membantu pihak professional untuk dapat menjelaskan kepada manajemen perusahaan mengenai posisi dari tata kelola TI yang ada di perusahaan saat ini dan dapat menentukan target untuk masa yang akan datang. Tingkat maturity dapat dipengaruhi oleh tujuan bisnis perusahaan, lingkungan operasional dan lingkungan industri. Lebih spesifik lagi, tingkat maturity tata kelola TI tergantung pada seberapa besar tingkat ketergantungan perusahaan terhadap penggunaan TI, kesempurnaan dari TI yang ada dan yang paling penting seberapa bernilainya suatu informasi dalam perusahaan tersebut.
38
CobIT menyediakan ukuran-ukuran untuk setiap proses yang dapat digunakan oleh manajemen teknologi informasi untuk menetukan kinerja IT Governance yang dimiliki. Ukuran-ukuran tersebut antara lain: 1. Maturity Model Maturity model pada CobIT digunakan untuk menentukan pilihan strategi yang akan digunakan dan melakukan perbandingan dengan standar yang ada. Maturity Model pada CobIT digunakan untuk membantu manajemen dalam mengidentifikasi hal-hal sebagai berikut: •
Kinerja yang sebenarnya pada organisasi, untuk melihat posisi organisasi saat ini
•
Status industri pada saat ini, sebagai bahan pertimbangan
•
Target perusahaan untuk pengembangan lebih lanjut, yaitu menyatakan level yang ingin dicapai oleh perusahaan
•
Pertumbuhan yang diperlukan saat ini dan yang akan datang
39
Maturity Model pada CobIT terdapat enam level penilaian seperti pada gambar berikut:
Gambar 2.4 : Matu rity Model pada CobIT Sumber: ITGI-CobIT 4.1th edition (2007, p18)
Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model secara umum seperti di bawah ini: a. Level 0 Non-Existent Pengelolaan teknologi informasi atau sistem informasi masih dalam tahap paling awal, masih pemula. Setiap proses belum terdefinisi dengan baik. Organisasi belum menyadari adanya persoalan yang perlu untuk ditangani. b. Level 1 Initial Organisasi telah menyadari adanya persoalan yang perlu untuk ditangani, tetapi belum ada standar proses yang harus dilakukan. Penanganan persoalan dilakukan berdasarkan kasus-kasus yang
40
muncul. Secara umum manajemen masih belum terorganisasi. Pengelolaan yang tidak menentu, tidak dikelola dengan baik, tidak ada dokumentasi, proyek terkadang melebihi deadline dan tidak terencana. c. Level 2 Repeatable Proses telah dikembangkan pada tahap ini sehingga telah dilakukan prosedur yang sejenis untuk kegiatan yang sama. Belum ada prosedur standar yang diterapkan dan tanggung jawab merupakan tanggung jawab individu. Pada level ini, perusahaan mulai sadar akan pentingnya kualitas. Tidak hanya kualitas pada software sebagai ‘produk’ tapi juga kualitas pada cara penanganan proyek. M ulai memperhitungkan kelayakan proyek terhadap kemampuan organisasi (perusahaan). d. Level 3 Defined Prosedur
telah
distandarisasi,
didokumentasikan,
dan
dikomunikasikan melalui pelatihan. Tahap ini mulai mengenal metodologi pengembangan sistem dan masih sangat tergantung individu apakah mengikuti standar yang ada maupun tidak tetapi telah ada formalisasi untuk setiap kegiatan. e. Level 4 Managed and Measureable Pada tahap ini manajemen mengawasi dan mengukur hal-hal yang telah dipenuhi dengan prosedur, serta mengambil tindakan ketika proses tidak berjalan dengan efektif. Proses-proses yang ada
41
merupakan bagian dari pengembangan yang konstan. Pada tahap ini telah dilakukan otomatisasi tetapi masih terbatas dan terpisahpisah. f. Level 5 Optimized Proses yang ada telah disesuaikan dengan best practice, berdasarkan hasil pengembangan secara terus menerus dengan organisasi lain. Teknologi Informasi digunakan sebagai bagian yang terintegrasi dengan aliran kerja, sebagai alat bantu untuk meningkatkan kualitas dan efektifitas, dan membuat organisasi dapat cepat untuk beradaptasi. 2. Critical Success Factor Critical
Success
Factor
menyediakan
petunjuk
untuk
implementasi control TI dan proses didalamnya. Pada bagian ini disebutkan hal-hal yang perlu dilakukan agar proses TI dapat mencapai tujuannya. 3. Key Goal indicators Key Goal Indicators mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada.
2.2.11 Linking Business Goals to IT Goals Dalam proses bisnis, perusahaan memiliki tujuan bisnis, tujuan dari penerapan TI yang dilakukan dan proses-proses TI terkait yang harus
42
dilakukan. Gambaran hubungan antara tujuan bisnis dengan tujuan penerapan TI beserta gambaran proses-proses TI yang terkait dalam IT Goals adalah sebagai berikut:
Gambar 2.5 : Linking Business Goals to IT Goals Sumber : ITGI-CobIT 4.1th edition (2007, p169)
43
Gambar 2.6 : Linking IT Goals to IT Processes Sumber : ITGI-CobIT 4.1th edition (2007, p170)
