BAB 2 LANDASAN TEORI

BAB 2 LANDASAN TEORI

2.1

Teori Umum 2.1.1 Pengertian Sistem Informasi Menurut Hall (2013:5), sistem informasi merupakan serangkaian prosedur formal di mana data dikumpulkan, disimpan, diproses menjadi informasi, dan didistribusikan kepada pengguna. Sedangkan menurut

Cegielski

mengumpulkan,

(2013:12),

memproses,

sistem

menyimpan,

informasi menganalisis,

adalah dan

menyebarkan informasi untuk tujuan tertentu. Tujuan sistem informasi adalah untuk mendapatkan informasi yang tepat kepada orang yang tepat, pada waktu yang tepat, dalam jumlah yang tepat, dan dalam format yang tepat. Sistem informasi dimaksudkan untuk memberikan informasi yang berguna, kita perlu membedakan antara informasi dan dua istilah yang terkait erat: data dan pengetahuan. Terdapat 6 komponen dalam sistem informasi, yaitu : -

Perangkat Keras

-

Perangkat Lunak

-

Database

-

Jaringan

-

Kebijakan

-

Manusia Jadi dapat ditarik kesimpulan bahwa sistem informasi adalah

serangkaian prosedur formal di mana data dikumpulkan, disimpan, dianalisis, dan diproses menjadi informasi yang dapat disebarkan untuk tujuan tertentu.

2.1.2 Pengertian Teknologi Informasi Menurut Weickgenannt (2013:8), teknologi informasi (TI) adalah sebagai komputer, peralatan pendukung, perangkat lunak, layanan, dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis. Dengan adanya teknologi informasi pada sebuah organisasi 9

10 dapat mendukung enam tujuan bisnis, yaitu: menaikan produktivitas, mengurangi biaya, mempercepat pembuatan keputusan, memfasilitasi kerjasama, meningkatkan customer relationship, mengembangkan strategi aplikasi baru. Sedangkan menurut Rainer (201:17), TI berhubungan dengan semua alat berbasis komputer yang digunakan orang untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi. Jadi dapat ditarik kesimpulan bahwa teknologi informasi adalah jaringan dari semua sistem informasi yang digunakan oleh sebuah organisasi untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi.

2.1.3 Pengertian Hardware Menurut Cegielski (2013:13), hardware terdiri dari perangkat seperti prossesor, monitor, keyboard, dan printer yang secara bersama-sama perangkat ini menerima, mengolah, dan menampilkan data dan informasi. Sedangkan menurut O’Brien (2009:117), komponen hardware termasuk perangkat input dan output seperti sebuah CPU, dan perangkat penyimpanan primer dan sekunder. Jadi dapat ditarik kesimpulan bahwa Hardware (Perangkat Keras) perangkat yang terdiri dari prosessor, monitor, keyboard, dan printer yang termasuk perangkat input dan output.

2.1.4 Pengertian Software Menurut Cegielski (2013:13), perangkat lunak/software adalah program atau kumpulan program yang memungkinkan perangkat keras

untuk

memproses

data.

Sedangkan

menurut

O’Brien

(2009:126), software adalah istilah umum untuk berbagai jenis program yang digunakan untuk mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka. Jadi dapat ditarik kesimpulan

bahwa

software

adalah

suatu

program

yang

memungkinkan perangkat keras untuk memproses data dalam mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka.

11

2.1.5 Pengertian Jaringan Komputer Menurut Cegielski (2013:149), jaringan komputer adalah sistem yang menghubungkan komputer dan perangkat lain (misalnya, printer) melalui media komunikasi sehingga data dan informasi dapat ditransmisikan antara mereka. Sedangkan menurut Sofana (2013:3), jaringan komputer merupakan kumpulan beberapa komputer (dan perangkat lainnya seperti router,switch, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara bisa berupa media kabel ataupu media tanpa kabel (nirkabel). Jadi dapat ditarik kesimpulan bahwa Jaringan Komputer adalah sistem yang menghubungkan komputer dengan perangkat lain melalui suatu media perantara yang dilakukan antara satu dengan yang lain.

2.1.6 Pengertian Internet Menurut Turban (2010:121), Internet interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan protokol khusus yang berfungsi sebagai mekanisme transportasi. Koneksi antar jaringan dapat dilakukan dengan dukungan protokol yang khas, yaitu TCP/IP

(Transmission

Control

Protocol/

Internet

Protocol).

Sedangkan menurut O’Brien (2009:217), internet adalah fenomena revolusioner dalam komputasi dan telekomunikasi. Internet telah menjadi jaringan terbesar dan paling penting dari jaringan saat ini dan telah berkembang menjadi superhighway informasi global. Jadi dapat ditarik kesimpulan bahwa internet merupakan interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan sebuah protokol yang disebut TCP/IP yang telah terevolusioner dalam komputer dan telekomunikasi informasi global.

2.1.7 Pengertian Intranet Menurut O’Brien (2009:221), intranet adalah jaringan di dalam sebuah organisasi yang menggunakan teknologi Internet (seperti Web browser dan server, protokol jaringan TCP/IP, HTML hypermedia dokumen

penerbitan

dan

database,

dan

sebagainya)

untuk

12 menyediakan lingkungan Internet seperti dalam perusahaan untuk berbagi informasi, komunikasi, kolaborasi dan dukungan dari proses bisnis. Intranet dilindungi oleh langkah-langkah keamanan seperti password, enkripsi, dan firewall sehingga dapat diakses melalui oleh para pengguna melalui internet. Sedangkan menurut

Turban

(2010:122), intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan, dengan menggunakan alat internet. Intranet menyediakan kemudahan dan browsing yang murah. Jadi dapat ditarik kesimpulan intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan yang menggunakan teknologi Internet.

2.1.10 Pengertian Extranet Menurut O’Brien (2009:223), extranet adalah link jaringan yang menggunakan teknologi internet untuk menghubungkan intranet dari bisnis dengan intranet dari pelanggan, pemasok, atau mitra bisnis lainnya.

Sedangkan

menurut

Cegielski

(2013:157),

extranet

menghubungkan bagian dari intranet organisasi yang berbeda. Memungkinkan mitra bisnis untuk berkomunikasi secara aman melalui internet dengan menggunakan jaringan virtual private. Jadi dapat disimpulkan extranet merupakan internet jaringan yang dikontrol dengan menggunakan password untuk private user daripada general public untuk dapat berkomunikasi secara aman dengan menggunakan jaringan virtual private.

2.1.11 Pengertian Virtual Private Network (VPN) Menurut Cegielski (2011:108) Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik (biasanya adalah Internet)

untuk

menghubungkan

sesama

pengguna.

VPN

mengintegrasikan konektivitas global internet dengan keamanan jaringan pribadi dan dengan demikian memperluas jangkauan jaringan organisasi. VPN memiliki beberapa kelebihan yaitu dengan VPN dapat mengizinkan remote user untuk mengakses ke jaringan perusahaan dan VPN juga memberikan kemudahan bagi organisasi

13 untuk dapat memberlakukan kebijakan keamanan bagi organisasi. Jadi dapat ditarik kesimpulan bahwa Virtual Private Network adalah jaringan

pribadi

yang

menggunakan

jaringan

publik

untuk

menghubungkan dan memperluas jangkauan jaringan organisasi.

2.1.12 Teori Local Area Network Menurut Cegielski (2013:149), Local Area Network (LAN) menghubungkan dua atau lebih perangkat di wilayah geografis yang terbatas, biasanya dalam gedung yang sama, sehingga setiap perangkat di dalam jaringan dapat berkomunikasi dengan setiap perangkat lain. Sedangkan menurut O’Brien (2009:223), LAN menghubungkan komputer dan perangkat pengolahan informasi lain dalam area fisik yang terbatas, seperti kantor, ruang kelas, bangunan, atau tempat kerja lainnya. LAN menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantorkantor, departemen, dan kelompok kerja lainnya. Jadi dapat ditarik kesimpulan Local Area Network adalah jaringan lokal yang menghubungkan dua atau lebih komputer pada perangkat pengolahan informasi lain dalam area fisik yang terbatas yang digunakan untuk menyediakan

kemampuan

jaringan

telekomunikasi

yang

menghubungkan pengguna akhir di kantor-kantor, departemen, dan kelompok kerja lainnya.

2.1.13 Teori Wide Area Networks Menurut Cegielski (2013:151), Wide Area Network (WAN) adalah jaringan yang mencakup area geografis yang luas. Sedangkan menurut O’Brien (2009 : 223), WAN adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas. Jaringan ini telah menjadi kebutuhan untuk melaksanakan hari untuk kegiatan hari banyak bisnis dan organisasi pemerintah dan pengguna akhir mereka. Jadi Wide Area Network adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas.

14 2.1.14 Pengertian Website Menurut Cegielski (2013:165), sebuah website adalah berbasis web, gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda dan internet dengan menggunakan teknik pencarian dan pengindeksan yang maju. Corporate website menawarkan satu poin akses personal melalui web browser untuk informasi bisnis penting yang terletak di dalam dan di luar organisasi. Jadi dapat ditarik kesimpulan bahwa website adalah gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda.

2.1.15 Pengertian UML Menurut Lee (2012:157), Unified Modeling Language merupakan notasi standar dalam mengembangkan metodologi desain berorientasi obyek untuk aplikasi komputer. UML adalah alat untuk menentukan sistem perangkat lunak yang mencakup diagram standar untuk mendefinisikan, menggambarkan dan memetakan secara visual atau memodelkan desain perangkat lunak sistem dan struktur. Diagram UML termasuk menggunakan Usecase Diagram, Class Diagram , Sequence Diagram , Statechart Diagram, Activity Diagram, Component Diagram, dan Deployment Diagram. Sedangkan menurut Wixom (2013:511), UML adalah untuk menyediakan kosakata umum istilah berbasis obyek dan teknik diagram yang cukup kaya untuk model setiap proyek pengembangan sistem dari analisis untuk merancang. standar

Jadi dapat disimpulkan bahwa UML adalah notasi

yang digunakan dalam desain untuk pelaksanaan setiap

sistem dan perangkat lunak arsitektur serta

membantu mencapai

persyaratan fungsional dan non-fungsional dari sistem.

2.1.16 Teori Rich Picture Menurut penelitian dari Stenlund dalam Using Grounded Theory Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden (2010: 18), “That’s rich

15 picture diagrams are tools suitable for analyzing complex building process”, yang artinya rich picture adalah alat yang sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks.

2.1.17 Teori Event Table Menurut Rama (2008:3), event adalah

kejadian yang terjadi

pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Sebuah event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi event-event. Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi aktivitas-aktivitas yang terjadi dalam suatu rangkaian sistem yang berjalan dalam perusahaan.

2.1.18 Teori Overview Activity Diagram Menurut

Rama

(2008:79),

Overview

Activity

Diagram

menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian-kejadian penting, urutan kejadiankejadian ini, dan aliran informasi antar kejadian. Overview Activity Diagram bermanfaat dalam memahami kejadian-kejadian penting pada suatu proses bisnis, tanggung jawab atas kejadian ini, dan perpindahan informasi antar kejadian. Menurut Rama (2008 : 85), dalam menyiapkan overview activity diagram terdapat langkahlangkah sebagai berikut : a. Membaca narasi dan mengidentifikasi event-event yang penting. b. Mencatat narasi secara jelas untuk mengidentifikasi eventevent yang terlibat di dalamnya. c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi. d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi. e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut.

16 f. Menggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut. Jadi dapat ditarik kesimpulan bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan.

2.1.19 Teori Detailed Activity Diagram Menurut Rama (2008:110), detailed activity diagram adalah diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan di dalam overview diagram. Detailed activity diagram menunjukkan informasi mengenai aktivitas dalam suatu kejadian spesifik. Untuk membuat sebuah detailed activity diagram perlu untuk mengidentifikasi aktivitas individu dalam setiap kejadian. Jadi dapat disimpulkan bahwa detailed activity diagram merupakan diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas dalam suatu kejadian spesifik.

2.1.20 Teori Workflow Menurut

Rainer (2011:169),

workflow

adalah

pergerakan

informasi yang mengalir melalui urutan langkah-langkah yang membentuk suatu prosedur kerja organisasi. Sedangkan menurut Rama (2008:111), workflow adalah tabel dengan dua kolom yang mengidentifikasikan para pelaku dan tindakan yang dilakukannya dari sebuah proses. Para pelaku yang melaksanakan aktivitas spesifik didaftarkan di dalam kolom pada sisi kiri. Aktivitas terkait didaftarkan pada sisi kanan. Aktivitas didaftarkan dengan menggunakan kata kerja aktif. Jadi dapat disimpulkan bahwa workflow adalah sebuah tabel sederhana dua kolom yang mengidentifikasikan pergerakan informasi yang mengalir melalui urutan langkah-langkah bagi para pelaku dan tindakan yang dilakukannya dari sebuah proses.

17 2.1.21 Teori Entity Relationship Diagram Menurut Hall (2013:49), ERD (Entity Relationship Diagram) adalah teknik dokumentasi yang digunakan untuk mewakili hubungan antara entitas bisnis. Entitas berlaku untuk suatu hal

dimana

organisasi menangkap data. Suatu entitas mungkin sumber daya fisik, suatu peristiwa, atau agen. Sedangkan menurut Roth (2013:224), ERD

(Entity

Relationship

Diagram)

adalah

gambar

yang

menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh sistem bisnis. Pada ERD, jenis yang sama dari informasi yang tercantum bersama-sama dan ditempatkan di dalam kotak yang disebut entitas. Garis ditarik antara entitas untuk mewakili hubungan antar data, dan simbol khusus ditambahkan ke diagram untuk berkomunikasi aturan bisnis tingkat tinggi yang perlu didukung oleh sistem. Jadi dapat disimpulkan bahwa Entity Relationship Diagram yaitu teknik dokumentasi yang digunakan untuk menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh entitas bisnis. 2.1.22 Pengertian Siklus Pendapatan Menurut Rama (2008:23), siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan. Siklus pendapatan dari jenis organisasi yang berbeda dapat saja sama dan mencakup didalamnya sebagian atau semua kegiatan berikut ini : 1. Merespon permintaan informasi dari pelanggan. 2. Membuat

perjanjian

dengan

para

pelanggan

untuk

menyediakan barang dan jasa di masa mendatang. Contoh perjanjiannya adalah Purchased Order& Sales Order. 3. Menyediakan jasa atau mengirim barang ke pelanggan. 4. Melakukan penagihan ke pelanggan. Perusahaan akan mengakui klaimnya terhadap pelanggan dengan mencatat piutang dan menagih pelanggan. 5. Melakukan penagihan uang. 6. Menyetorkan uang ke bank. 7. Menyusun laporan Contohnya adalah laporan daftar pesanan, daftar pengiriman, dan daftar penerimaan kas.

18 Menurut pendapatan

Speer

adalah

(2012:399), dokumen

penjualan

formal

yang

di

dalam

disusun

siklus dengan

menggunakan formulir pemesanan pelanggan yang berupa satu salinan dokumen tersebut juga siap untuk memulai pengiriman dan menerima pembayaran dari pelanggan. Pesanan penjualan disiapkan oleh penjual dalam penjualan unit. Jadi dapat ditarik kesimpulan bahwa siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan dengan menyertakan dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan.

2.1.23 Pengertian Penjualan Kredit Menurut Anggadini (2011:165), penjualan kredit adalah aktivitas penjualan yang menimbulkan tagihan/klaim/piutang kepada pembeli sehingga penjual tidak menerima uang tunai pada saat barang diserahkan kepada pembeli. Sedangkan menurut Vini Mariani (2011: 274), penjualan kredit dan piutang merupakan dua hal yang tidak dapat dipisahkan, karena penjualan kredit akan selalu menimbulkan piutang. Tidak ada atau lemahnya pengendalian internal dalam sistem akuntansi penerimaan kas akan berakibat semakin besarnya resiko kerugian yang akan ditanggung perusahaan akibat tak tertagihnya piutang

maupun

penyimpangan

atau

kecurangan

akan

yang

mengakibatkan terancamnya kelangsungan hidup perusahaan. Untuk itu diperlukan adanya pengendalian internal yang baik untuk mendukung sistem akuntansi ketiganya. Prosedur penjualan kredit terdiri dari aktivitas : a. Permintaan informasi persediaan barang/jasa b. Penerimaan pesanan penjualan c. Pengecekan persediaan dan harga d. Persetujuan kredit e. Pengambilan barang/persediaan f. Pembuatan faktur penjualan g. Pengiriman barang

19 h. Pencatatan transaksi i. Penagihan Jadi

dapat

ditarik

kesimpulan

bahwa

penjualan

kredit

menimbulkan piutang dan keduanya merupakan hal yang tidak bisa dipisahkan dan juga penjualan barang dagang yang dilakukan secara tidak tunai dan dicatat sebagai debit pada perkiraan piutang dagang dan kredit pada perkiraan penjualan.

2.2

Teori Khusus 2.2.1 Pengertian Risiko Menurut Peltier (2005:16), risiko merupakan fungsi dari kemungkinan yang mengidentifikasikan ancaman yang akan terjadi, dan kemudian dampak bahwa ancaman akan terjadi pada proses atau misi dari aset dalam bisnis. Sedangkan Istiningrum (2011:2), risiko mengandung tiga unsur pembentuk risiko, yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi jika terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). Jadi dapat ditarik kesimpulan bahwa risiko adalah kemungkinan yang mengidentifikasikan ancaman yang akan terjadi dalam bisnis yang dapat menimbulkan kerugian.

2.2.1.1 Komponen Risiko Menurut

Arens (2012:281), komponen risiko adalah sebagai

berikut: 1. Risiko Deteksi yang Direncanakan (Planned Detection Risk) Risiko bahwa bukti audit untuk segmen akan gagal mendeteksi salah saji yang melebihi toleransi. 2. Risiko Audit yang Dapat Diterima (Acceptable Audit Risk) Ukuran tentang kesediaan auditor untuk menerima bahwa laporan keuangan mungkin disalahsajikan secara material setelah audit selesai dan pendapat wajar tanpa pengecualian telah dikeluarkan. 3. Risiko Inheren (Inherent Risk)

20 Ukuran penilaian auditor tentang kemungkinan bahwa ada salah saji yang material dalam suatu segmen sebelum mempertimbangkan keefektifan pengendalian internal. 4. Risiko Pengendalian (Control Risk) Ukuran penilaian auditor mengenai kemungkinan bahwa salah saji melampaui jumlah yang dapat ditoleransi dalam suatu segmen tidak akan tecegah atau terdeteksi oleh pengendalian internal klien.

2.2.1.2

Upaya Penanggulangan Risiko Menurut Yasa (2013:33), tindakan yang dilakukan untuk mengurangi risiko yang muncul disebut mitigasi/ penanganan risiko (risk mitigation). Tindakan yang dapat dilakukan dalam menangani risiko yaitu : 1. Menahan Risiko (Risk Retention) Tindakan ini dilakukan karena dampak dari suatu kejadian yang merugikan masih dapat diterima (acceptable). 2. Mengurangi Risiko (Risk Reduction) Mengurangi

risiko

dilakukan

dengan

mempelajari

secara

mendalam risiko tersebut, dan melakukan usaha-usaha pencegahan pada sumber risiko atau mengkombinasikan usaha agar risiko yang diterima tidak terjadi secara simultan. 3. Memindahkan Risiko (Risk Transfer) Dilakukan dengan cara mengansuransikan risiko baik sebagian atau seluruhnya kepada pihak lain. 4. Menghindari Risiko (Risk Avoidance) Dilakukan dengan menghindari aktivitas yang tingkat kerugiannya tinggi.

2.2.2 Risiko Teknologi Informasi 2.2.2.1 Kategori Risiko Teknologi Informasi Menurut teknologi

Hughes

(2006:34),

kategori

risiko

informasi antara kehilangan informasi potensial

21 dan pemulihannya, antara lain : 1. Security Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber. 2. Availability Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan

konfigurasi,

kurangnya

pengurangan

arsitektur atau akibat lainnya. 3. Recoverability Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah

kejadian

keamanan

atau

ketersediaan

seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 4. Performance Risiko

dimana

diperlukan

yang

informasi

tidak

diakibatkan

tersedia oleh

saat

arsitektur

terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Scalability Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif. 6. Compliance Risiko

yang

manajemen

atau

pengginaan

informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.

22

2.2.3 Penilaian Risiko 2.2.3.1 Pengertian Penilaian Risiko Menurut Peltier (2005:16), penilaian risiko adalah proses kedua dalam manajemen siklus hidup risiko. Organisasi menggunakan penilaian risiko untuk menentukan ancaman apa yang ada untuk suatu aset dan tingkat risiko terkait ancaman itu. Prioritas ancaman (penentuan tingkat resiko) memberikan organisasi berupa informasi yang diperlukan untuk memilih tindakan yang tepat kontrol, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Organisasi harus menetapkan ambang batas dari risiko yang dapat diterima dan melaksanakan penanggulangan yang memadai untuk

mengurangi

risiko

ke

tingkat

yang

ditentukan

manajemen. Setiap kali penilaian risiko yang akan dilakukan, profesional manajemen risiko harus bertemu dengan klien untuk menentukan apa yang dikaji, apa jenis elemen risiko yang harus diperiksa, dan apa yang klien perlu sebagai penyampaian atau hasil dari proses. Tujuan dari proses penilaian risiko adalah untuk menentukan dampak ancaman terhadap aset informasi berdasarkan : 1. Integritas (Integrity) Segala macam informasi tanpa adanya modifikasi yang tidak sah (asli). Beberapa contoh dari ancamannya yaitu menggunakan/ menghasilkan laporan yang salah, memodifikasi/mengganti bebrapa informasi, salah mengartikan informasi, dsb. 2. Kerahasiaan (Confidentiality) Informasi yang ada diperusahaan bersifat rahasia dan hanya pihak yang berwenang yang dapat mengakses dari

informasi

tersebut.

Beberapa

contoh

dari

ancamannya yaitu penyalahgunaan hak akses oleh yang tidak berwenang, memberikan informasi tanpa

23 seizin pihak yang berwenang, mengawasi transaksi, dsb. 3. Ketersediaan sumber daya informasi (Availability) Aplikasi,

sistem,

atau

sumber

informasi

yang

diperlukan oleh perusahaan tersedia saat dibutuhkan. Beberapa contoh dari ancamannya yaitu perusakan informasi, menunda ketersediaan akses informasi, bencana besar ( kebakaran, banjir,dsb).

2.2.3.2 Proses Penilaian Risiko Menurut Moteff (2004:2), penilaian risiko melibatkan integrasi ancaman, kerentanan, dan informasi konsekuensi. Manajemen risiko melibatkan memutuskan langkah-langkah protektif untuk mengambil berdasarkan disepakati strategi pengurangan risiko. Banyak model / metodologi yang telah dikembangkan dimana ancaman, kerentanan, dan risiko yang terintegrasi dan kemudian digunakan untuk menginformasikan alokasi sumber daya untuk mengurangi risiko tersebut. Sedangkan

menurut

Peltier

(2005:16),

organisasi

menggunakan penilaian risiko untuk menentukan apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. Ancaman prioritas (penentuan tingkat risiko) memberikan organisasi dengan informasi yang dibutuhkan untuk memilih tindakan kontrol yang tepat, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Terdapat 6 langkah dalam proses penilaian risiko, yaitu : 1. Mengidentifikasi aset 2. Mengidentifikasi,

mengkarakterisasi,

dan

menilai

ancaman Sebuah sumber ancaman didefinisikan sebagai keadaan

atau

peristiwa

dengan

potensi

untuk

24 menyebabkan kerusakan pada aset. Biasanya, ada tiga kategori utama dari sumber ancaman : a. Natural Threats : Banjir, gempa bumi, tornado, tanah longsor, longsoran, badai listrik, dan acara lain . b. Human Threats : Tindakan yang dimulai atau disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (fraud, perangkat lunak berbahaya, akses yang tidak sah ). c. Environmental Threats : Listrik padam jangka panjang,

polusi,

tumpahan

bahan

kimia,

kebocoran cairan.

3. Menentukan probabilitas kejadian Terdapat 3 level dalam menentukan kemungkinan terjadinya ancaman, yaitu : a. High :

Sangat mungkin bahwa ancaman

akan terjadi dalam tahun depan. b. Medium : Kemungkinan bahwa ancaman mungkin terjadi selama tahun depan. c. Low : Rendah probabilitas - Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun depan. 4. Menentukan dampak dari ancaman Terdapat 3 level dalam menentukan dampak ancaman, yaitu : a. High Impact : Mematikan unit bisnis penting yang mengarah ke kerugian yang signifikan dari bisnis, citra perusahaan, atau keuntungan. b.

Medium Impact : Gangguan proses kritis atau sistem yang mengakibatkan kerugian

25 keuangan yang terbatas untuk unit bisnis tunggal. c.

Low Impact : Gangguan tanpa kehilangan keuangan.

5. Merekomendasikan pengendalian Mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. 6. Mendokumentasikan hasil

2.2.4 Penilaian Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAAP. 2.2.4.1 Pengertian

FRAAP

(Facilitated

Risk

Analysis

&

Assessment Process) Menurut Peltier (2005:132), FRAAP (Facilitated Risk Analysis& Assessment Process) merupakan metodologi formal yang dikembangkan melalui pemahaman dalam

proses

penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses

analisis risiko dapat dilakukan

dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, confidentiality, serta

26 availability. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya

tidak

mencoba

untuk

mendapatkan

atau

mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim

mengidentifikasi

pengendalian

yang

dapat

diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risikorisiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada

pimpinan

proyek

dan

manajer

bisnis

untuk

menyelesaikan action plan.

2.2.4.2

Tahapan FRAAP Menurut Peltier (2005:131), pendekatan FRAAP (Facilitated Risk Analysis & Assessment Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAAP terdiri dari 3 tahapan, yaitu : 1. Pre-FRAAP Meeting Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini

27 pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini : a.

Hasil

Penyaringan

(Prescreening

Results) Tidak setiap aplikasi, proses bisnis, atau

sistem

perlu

memiliki

proses

penilaian risiko formal maupun analisis dampak bisnis yang dilakukan. Apa yang dibutuhkan adalah sebuah metodologi formal

yang

enterprisewide

memungkinkan

untuk

yang

penyaringan

aplikasi dan sistem untuk menentukan kebutuhan.

Ketika

mengembangkan

metodologi penyaringan, yang terbaik adalah mulai dengan pemahaman yang jelas tentang apa tujuan atau misi dari perusahaan

bisnis.

menggunakan

informasi

Dengan ini

sebagai

dasar, dapat mengembangkan sejumlah pertanyaan yang dapat diselesaikan oleh pemimpin proyek dan manajer bisnis dalam pre-FRAAP meeting. Pertanyaanpertanyaan ini akan memungkinkan fasilitator dan pemilik untuk menentukan apakah penilaian risiko formal maupun analisis

dampak

bisnis

harus

diselesaikan. Hasil penyaringan dapat mengubah kebutuhan untuk melakukan penilaian risiko.

Tabel 2.1 Contoh Prescreening Impact Information

Description

Longest

28 Value

Classification Level

Tolerable Outage

1

Top Secret

Informasi yang rahasia, yang jika

24 Jam

diungkapkan, bisa menimbulkan dampak parah pada perusahaan keunggulan kompetitif atau bisnis strategi 2

Confidential

Informasi yang jika diungkapkan,

25 – 72

bisa melanggar privasi individu,

Jam

mengurangi keunggulan kompetitif, atau merusak perusahaan 3

Restricted

Informasi yang tersedia untuk

3–5

bagian spesifik dari

Hari

populasi karyawan ketika melakukan bisnis perusahaan 4

Internal Use

Informasi yang dimaksudkan

6–9

untuk digunakan oleh seluruh

Hari

karyawan ketika melakukan bisnis perusahaan 5

Public

Informasi yang ada tersedia bagi

10 hari -

publik

12 hari

b.

Ruang Lingkup Pemimpin proyek dan manajer bisnis membuat

pernyataan

peluang-peluang

yang

mengenai ada

untuk

kemudian ditinjau. c.

Model Visual Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali. Model visual digunakan selama sesi FRAAP untuk

29 memperkenalkan tim dengan dimana proses dimulai dan berakhir. d. Pembentukan Tim FRAAP Membangun tim FRAAP yang terdiri atas 15 - 30 orang anggota yang berhubungan dengan sistem yang terkait seperti : functional owners, system user, system

analyst,

application

programming, database administration, processing system

operation

management,

administrator,

programming,

dan

system information

security.

e.

Pertemuan Teknis Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan.

f.

Persetujuan

Definisi

(Agreement

of

Definition) Dalam sesi pre-FRAAP dibutuhkan persetujuan terhadap definisi FRAAP. Persetujuan berdasarkan

tersebut pada

haruslah

adanya

threat

,

control,probability dan impact. Selain itu perlu juga menyepakati definisi dari elemen

review

(integritas,

kerahasiaan,ketersediaan).

2. FRAAP Session Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah:

30 a. Identifikasi Ancaman Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan. b. Prioritas Risiko Menentukan risiko utama dari semua risiko yang mungkin memilki

ancaman

terjadi (yang terbesar).

Berikut

adalah tabel definisi yang digunakan untuk mengidentifikasi tingkat risiko .

Tabel 2.2 Definisi Kemungkinan (Probability) dalam FRAAP Deskripsi Kemungkinan

Kemungkinan bahwa suatu peristiwa akan terjadi atau nilai kerugian yang spesifik

High

Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan

Medium

Kemungkinan bahwa ancaman akan terjadi dalam tahun depan

Low

Tidak mungkin bahwa ancaman akan terjadi dalam tahun depan

Tabel 2.3 Definisi Dampak (Impact) dalam FRAAP Deskripsi Dampak

Sebuah ukuran besarnya kerugian atau kerusakan pada nilai suatu aset

High

cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan.

Medium

akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan.

Low

operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.

31 c. Memberikan saran pengendalian (Suggested Controls) Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi. Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman

yang

dapat

terjadi

pada

sistem

perusahaan.

IMPACT High

Medium

Low

High

A

B

C

Medium

B

B

C

Low

C

C

D

Keterangan: A – Tindakan perbaikan harus diimplementasikan B – Tindakan perbaikan yang diusulkan C – Membutuhkan pemantauan D – Tidak ada tindakan yang diperlukan Gambar 2.1 FRAAP Risk Level Matrix

Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancamanancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi.

Suggested

control

dilakukan

untuk

32 mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu, Suggested

control

juga

dilakukan

untuk

memberikan saran kepada perusahaan mengenai kontrol yang perlu ditambahkan. Berikut ini merupakan tabel daftar pengendalian berdasarkan kelas pengendalian yang ada menurut Peltier (2005:176) :

Tabel 2.4 Definisi Kontrol Menurut Organisasi IT dan Kelompok yang Mendukung Proses Bisnis Nomor Kelompok Descriptor Pengendalian TI 1 Pengendalian Backup Operasi

2

3

Definisi

Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi , termasuk pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengendalian Rencana Pemulihan Pengembangan, dokumen Operasi ,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Pengendalian Analisa Risiko Melakukan analisa risiko Operasi untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan dan pengendalian.

33 4

5

6

7

8

9

10

11

Pengendalian Antivirus Operasi

(1) Memastikan bahwa administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer. (2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi. Pengendalian Depensi Antarmuka Sistem yang membutuhkan Operasi informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi. Pengendalian Pemeliharaan Persyaratan waktu untuk Operasi pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen. Pengendalian Service level Menetapkan perjanjian Operasi Agreement tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada. Pengendalian Pemeliharaan Menetapkan perjanjian bagi Operasi pemasok & pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi. Pengendalian Manajemen Pengendalian migrasi Operasi Perubahan produksi seperti proses pencarian dan penghapusan data ,untuk memastikan penyimpanan data yang bersih. Pengendalian Analisis Dampak Analisis dampak bisnis Operasi Bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya. Pengendalian Backup Pelatihan backup bagi Operasi sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program

34

12

13

14

15

16

17

pelatihan yang telah dilakukan. Pengendalian Backup Program kesadaran Operasi keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun. Pengendalian Rencana Pemulihan Menerapkan mekanisme Operasi untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data. Pengendalian Analisa Risiko Menerapkan mekanisme Operasi otentikasi pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem. Pengendalian Pengendalian Merancang dan menerapkan Aplikasi Aplikasi pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi , indikator alarm, menilai password yang invalid) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. Pengendalian Pengujian Pengembangan prosedur Aplikasi Penerimaan pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna. Pengendalian Pelatihan Melaksanakan program user Aplikasi (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan

35

18

Pengendalian Pelatihan Aplikasi

19

Pengendalian Strategi Korektif Aplikasi

20

Pengendalian Kebijakan Keamanan

21

Pengendalian Pelatihan Keamanan

22

Pengendalian Review Keamanan

23

Pengendalian Klasifikasi Aset Keamanan

24

Pengendalian Pengendalian Keamanan Akses

aplikasi. Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi. Tim pengembang akan mengembangkan strategi korektif seperti pemprosesan ulang, merevisi/ merubah logika aplikasi, dll. Mengembangkan kebijakan dan prosedur untuk membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis. Pelatihan pengguna akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pribadi, nilai password, dan penekanan atas pentingnya menjaga informasi. Menerapkan mekanisme untuk memantau, melaporkan, dan kebutuhan atas kegiatan audit diidentifikasi , termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis. Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan perusahaan, standar, dan prosedur klasifikasi aset. Mekanisme untuk melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan

36

25

Pengendalian Dukungan Keamanan Manajemen

26

Pengendalian Hak Milik Keamanan

27

Pengendalian Kesadaran Keamanan Keamanan

28

Pengendalian Pengendalian Keamanan Akses

29

Pengendalian Pengendalian Keamanan Akses

30

Pengendalian Pengendalian Keamanan Akses

dari luar aplikasi, akan ditentukan dan dilaksanakan. Meminta dukungan manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. Proses untuk memastikan bahwa aset milik perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga. Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini. Melaksanakan mekanisme enkripsi data untuk mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi. Mematuhi proses manajemen perubahan yang dirancang untuk memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini. Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk menganalisa kegiatan sistem update yang dilakukan.

37 31

Pengendalian Pengendalian Keamanan Akses

32

Pengendalian Manajemen Keamanan Perubahan

33

Pengendalian Monitor Keamanan system logs

34

Keamanan Fisik

Keamanan Fisik

Setelah

Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem. Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik backup yang telah diselesaikan, harus dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan atau pengendalian.

penentuan

suggested

control,

tim

FRAAP mengidentifikasi pengendalian yang ada untuk ancaman tingkat tinggi. Pada tahapan ini, tim FRAAP berdiskusi mengenai beberapa hal, antara lain sebagai berikut : • Identifikasi pengendalian yang sudah ada (Existing Control) pada ancaman

38 • Identifikasi pengendalian untuk setiap ancaman tingkat

tinggi

yang

belum

terdapat

pengendalian • Identifikasi bagian/orang yang bertanggung jawab untuk implementasi pengendalian yang baru Dari diskusi tersebut akan dihasilkan 6 poin penting dalam FRAAP Session, yaitu : 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan

pengendalian

yang

diusulkan 4. Pengendalian yang ada diidentifikasi 5. Pengendalian

terhadap

risiko

high-level

ditetapkan 6. Memilih

kelompok

bertanggung

atau

orang

jawab

mengimplementasikan

yang untuk

rekomendasi

pengendalian yang diusulkan sebelumnya.

3. Post FRAAP Meeting Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko. Rencana ini akan mencakup semua penyampaian dari tahap sesi FRAAP yaitu: 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang diusulkan

39 4. Pengendalian yang ada diidentifikasi 5. Pengendalian terhadap risiko high-level ditetapkan 6. Orang/bagian yang bertanggung jawab dalam

mengimplementasi

pengedalian

yang diusulkan Informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Meeting menghasilkan tiga penyampaian , yaitu :

a. Membuat Complete Action Plan Untuk mendapatkan laporan lengkap, project

leader

dan

fasilitator

harus

membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana

aksi

membantu

tersebut

agar

perusahaan

dapat dalam

melaksanakan penetapan kontrol yang diusulkan.

b. Membuat ringkasan laporan manajemen (Management Summary Report) Ringkasan laporan manajemen harus dihasilkan

yang

didalamnya

akan

merangkum temuan dari proses dalam dokumen yang ringkas. Laporan ringkasan manajemen akan memberikan gambaran temuan penilaian risiko dan digunakan untuk

melengkapi

dokumentasi

hasil

40 temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu : -

Penilaian anggota tim.

-

Ringkasan manajemen

-

Metodologi yang digunakan dalam penilaian

-

Kajian temuan dan rencana

-

Dokumentasi temuan

-

Kesimpulan.

c. Membuat Cross-References Sheet Membuat

cross-reference

berdasarkan

tabel

pengendalian

risiko

untuk

sheet

dan

tabel

mengidentifikasi

pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross – Reference

Sheet

ini

adalah

untuk

menentukan dan mengetahui pengendalian mana saja yang dapat memitigasi risikorisiko yang ada. Pada Cross - Reference Sheet,

kita

dapat

melihat

satu

pengendalian memitigasi lebih dari satu risiko, sehingga hal tersebut bisa menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan.

2.2.5 Sistem Aplikasi Microsoft Dynamics Navision versi 4.0 Menurut

http://www.microsoft.com

,

Microsoft

Dynamics

Navision merupakan sebuah produk ERP (Enterprise Resources Planning) yang dikembangkan oleh Microsoft. Produk ini merupakan bagian dari paket Microsoft Dynamics dan bertujuan untuk membantu bagian keuangan, produksi, manajemen hubungan pelanggan, analisis dan perdagangan elektronik bagi perusahaan level kecil dan

41 menengah. Pada bulan Desember 2008, Microsoft merilis Dynamics Navision 2009, dengan peranan baru berbasis GUI. Microsoft awalnya merencanakan untuk mengembangkan sistem ERP yang sama sekali baru (proyek hijau), tetapi telah memutuskan untuk melanjutkan pengembangan semua sistem ERP (Dynamics AX, Dynamics NAV, Dynamics GP dan Dynamics SL). Keseluruhan empat sistem ERP akan diluncurkan dengan user interface berbasis aturan baru yang sama, pelaporan dan analisis berbasis SQL, portal berbasis SharePoint, mobile client berbasis Pocket PC dan integrasi dengan Microsoft Office. Modul yang terdapat dalam

Microsoft Dynamics Navision

mencakup : 1.

Penjualan (Sales) Modul

ini

digunakan

untuk

menjamin

pengiriman tepat waktu produksi yang dijadwalkan. Dijadwalkan jumlah produksi dihitung sesuai dengan kebutuhan

produksi,

penjualan

dan

pesanan

dijadwalkan internal perusahaan itu. 2.

Penjualan dan Pemasaran (Sales&Marketing) Modul ini digunakan untuk mengatur dan mengelola kegiatan. Fungsi utama adalah: harga, cadangan dan jasa, manajemen order, manajemen harga promosi. Modul ini menyediakan informasi umum tentang parameter proses penjualan (volume penjualan, produk, profitabilitas klien, dan kampanye, status pesanan).

3.

Distribusi (Distribution) Modul ini bertanggung jawab untuk manajemen distribusi yang fleksibel dan efektif. Sementara menggunakan fungsi penyimpanan Navision, pengguna dapat mengoptimalkan produksi manajemen arus,

42 keseimbangan pasokan minim, pengiriman produksi sesuai dengan kebutuhan klien. 4.

Inventori (Supply Chain Management) Modul ini untuk mengelola permintaan klien sesuai dengan pasokan. Fungsi ini memungkinkan untuk mengelola pembelian, produksi dan proses distribusi.

Komponen

utama

adalah:

penjualan,

produksi dan manajemen distribusi. 5.

Manufaktur (Production) Modul

ini

digunakan

untuk

menjamin

manajemen produksi dijadwalkan secara efektif. Dapat memodifikasi metode produksi sesuai dengan berbagai kebutuhan nasabah, untuk mengatur biaya produk bersih perhitungan kembali sesuai dengan berbagai produksi dan harga saham. 6.

Manajemen Keuangan (Financial Management) Modul ini bertanggung jawab untuk analisis operasi keuangan perusahaan dan penyimpanan, mengelola anggaran dan membandingkan perkiraan untuk data aktual.

7.

Sumber

Daya

Manusia

(Customer

Relationship

Management) Modul ini untuk menyimpan dan mengelola informasi tentang hubungan perusahaan antara klien dan

pelanggan.

Modul

ini

berguna

ketika

merencanakan penjualan, pemasaran dan strategi penanganan.

Strategi Perusahaan,

yang

meliputi

hubungan antara klien dan pelanggan dengan cara yang berbeda: penjualan, pemasaran, layanan, penciptaan produk baru, harga ,dll 8.

Service Management

43 Layanan Kualitatif profitabilitas dan outbidding kebutuhan modul analisis klien bertanggung jawab untuk mengendalikan dan efektif menggunakan sumber daya yang mungkin, penanganan layanan penentuan indeks profitabilitas, menganalisis permintaan klien.