BAB 2 LANDASAN TEORI
2.1
Teori Umum 2.1.1 Pengertian Sistem Informasi Menurut Hall (2013:5), sistem informasi merupakan serangkaian prosedur formal di mana data dikumpulkan, disimpan, diproses menjadi informasi, dan didistribusikan kepada pengguna. Sedangkan menurut
Cegielski
mengumpulkan,
(2013:12),
memproses,
sistem
menyimpan,
informasi menganalisis,
adalah dan
menyebarkan informasi untuk tujuan tertentu. Tujuan sistem informasi adalah untuk mendapatkan informasi yang tepat kepada orang yang tepat, pada waktu yang tepat, dalam jumlah yang tepat, dan dalam format yang tepat. Sistem informasi dimaksudkan untuk memberikan informasi yang berguna, kita perlu membedakan antara informasi dan dua istilah yang terkait erat: data dan pengetahuan. Terdapat 6 komponen dalam sistem informasi, yaitu : -
Perangkat Keras
-
Perangkat Lunak
-
Database
-
Jaringan
-
Kebijakan
-
Manusia Jadi dapat ditarik kesimpulan bahwa sistem informasi adalah
serangkaian prosedur formal di mana data dikumpulkan, disimpan, dianalisis, dan diproses menjadi informasi yang dapat disebarkan untuk tujuan tertentu.
2.1.2 Pengertian Teknologi Informasi Menurut Weickgenannt (2013:8), teknologi informasi (TI) adalah sebagai komputer, peralatan pendukung, perangkat lunak, layanan, dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis. Dengan adanya teknologi informasi pada sebuah organisasi 9
10 dapat mendukung enam tujuan bisnis, yaitu: menaikan produktivitas, mengurangi biaya, mempercepat pembuatan keputusan, memfasilitasi kerjasama, meningkatkan customer relationship, mengembangkan strategi aplikasi baru. Sedangkan menurut Rainer (201:17), TI berhubungan dengan semua alat berbasis komputer yang digunakan orang untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi. Jadi dapat ditarik kesimpulan bahwa teknologi informasi adalah jaringan dari semua sistem informasi yang digunakan oleh sebuah organisasi untuk bekerja dengan informasi dan mendukung informasi dan kebutuhan pengolahan informasi organisasi.
2.1.3 Pengertian Hardware Menurut Cegielski (2013:13), hardware terdiri dari perangkat seperti prossesor, monitor, keyboard, dan printer yang secara bersama-sama perangkat ini menerima, mengolah, dan menampilkan data dan informasi. Sedangkan menurut O’Brien (2009:117), komponen hardware termasuk perangkat input dan output seperti sebuah CPU, dan perangkat penyimpanan primer dan sekunder. Jadi dapat ditarik kesimpulan bahwa Hardware (Perangkat Keras) perangkat yang terdiri dari prosessor, monitor, keyboard, dan printer yang termasuk perangkat input dan output.
2.1.4 Pengertian Software Menurut Cegielski (2013:13), perangkat lunak/software adalah program atau kumpulan program yang memungkinkan perangkat keras
untuk
memproses
data.
Sedangkan
menurut
O’Brien
(2009:126), software adalah istilah umum untuk berbagai jenis program yang digunakan untuk mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka. Jadi dapat ditarik kesimpulan
bahwa
software
adalah
suatu
program
yang
memungkinkan perangkat keras untuk memproses data dalam mengoperasikan dan memanipulasi komputer pada perangkat periferal mereka.
11
2.1.5 Pengertian Jaringan Komputer Menurut Cegielski (2013:149), jaringan komputer adalah sistem yang menghubungkan komputer dan perangkat lain (misalnya, printer) melalui media komunikasi sehingga data dan informasi dapat ditransmisikan antara mereka. Sedangkan menurut Sofana (2013:3), jaringan komputer merupakan kumpulan beberapa komputer (dan perangkat lainnya seperti router,switch, dan sebagainya) yang saling terhubung satu sama lain melalui media perantara. Media perantara bisa berupa media kabel ataupu media tanpa kabel (nirkabel). Jadi dapat ditarik kesimpulan bahwa Jaringan Komputer adalah sistem yang menghubungkan komputer dengan perangkat lain melalui suatu media perantara yang dilakukan antara satu dengan yang lain.
2.1.6 Pengertian Internet Menurut Turban (2010:121), Internet interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan protokol khusus yang berfungsi sebagai mekanisme transportasi. Koneksi antar jaringan dapat dilakukan dengan dukungan protokol yang khas, yaitu TCP/IP
(Transmission
Control
Protocol/
Internet
Protocol).
Sedangkan menurut O’Brien (2009:217), internet adalah fenomena revolusioner dalam komputasi dan telekomunikasi. Internet telah menjadi jaringan terbesar dan paling penting dari jaringan saat ini dan telah berkembang menjadi superhighway informasi global. Jadi dapat ditarik kesimpulan bahwa internet merupakan interkoneksi jaringan komputer skala besar yang dihubungkan menggunakan sebuah protokol yang disebut TCP/IP yang telah terevolusioner dalam komputer dan telekomunikasi informasi global.
2.1.7 Pengertian Intranet Menurut O’Brien (2009:221), intranet adalah jaringan di dalam sebuah organisasi yang menggunakan teknologi Internet (seperti Web browser dan server, protokol jaringan TCP/IP, HTML hypermedia dokumen
penerbitan
dan
database,
dan
sebagainya)
untuk
12 menyediakan lingkungan Internet seperti dalam perusahaan untuk berbagi informasi, komunikasi, kolaborasi dan dukungan dari proses bisnis. Intranet dilindungi oleh langkah-langkah keamanan seperti password, enkripsi, dan firewall sehingga dapat diakses melalui oleh para pengguna melalui internet. Sedangkan menurut
Turban
(2010:122), intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan, dengan menggunakan alat internet. Intranet menyediakan kemudahan dan browsing yang murah. Jadi dapat ditarik kesimpulan intranet adalah jaringan yang dirancang untuk melayani kebutuhan informasi internal perusahaan yang menggunakan teknologi Internet.
2.1.10 Pengertian Extranet Menurut O’Brien (2009:223), extranet adalah link jaringan yang menggunakan teknologi internet untuk menghubungkan intranet dari bisnis dengan intranet dari pelanggan, pemasok, atau mitra bisnis lainnya.
Sedangkan
menurut
Cegielski
(2013:157),
extranet
menghubungkan bagian dari intranet organisasi yang berbeda. Memungkinkan mitra bisnis untuk berkomunikasi secara aman melalui internet dengan menggunakan jaringan virtual private. Jadi dapat disimpulkan extranet merupakan internet jaringan yang dikontrol dengan menggunakan password untuk private user daripada general public untuk dapat berkomunikasi secara aman dengan menggunakan jaringan virtual private.
2.1.11 Pengertian Virtual Private Network (VPN) Menurut Cegielski (2011:108) Virtual Private Network adalah jaringan pribadi yang menggunakan jaringan publik (biasanya adalah Internet)
untuk
menghubungkan
sesama
pengguna.
VPN
mengintegrasikan konektivitas global internet dengan keamanan jaringan pribadi dan dengan demikian memperluas jangkauan jaringan organisasi. VPN memiliki beberapa kelebihan yaitu dengan VPN dapat mengizinkan remote user untuk mengakses ke jaringan perusahaan dan VPN juga memberikan kemudahan bagi organisasi
13 untuk dapat memberlakukan kebijakan keamanan bagi organisasi. Jadi dapat ditarik kesimpulan bahwa Virtual Private Network adalah jaringan
pribadi
yang
menggunakan
jaringan
publik
untuk
menghubungkan dan memperluas jangkauan jaringan organisasi.
2.1.12 Teori Local Area Network Menurut Cegielski (2013:149), Local Area Network (LAN) menghubungkan dua atau lebih perangkat di wilayah geografis yang terbatas, biasanya dalam gedung yang sama, sehingga setiap perangkat di dalam jaringan dapat berkomunikasi dengan setiap perangkat lain. Sedangkan menurut O’Brien (2009:223), LAN menghubungkan komputer dan perangkat pengolahan informasi lain dalam area fisik yang terbatas, seperti kantor, ruang kelas, bangunan, atau tempat kerja lainnya. LAN menyediakan kemampuan jaringan telekomunikasi yang menghubungkan pengguna akhir di kantorkantor, departemen, dan kelompok kerja lainnya. Jadi dapat ditarik kesimpulan Local Area Network adalah jaringan lokal yang menghubungkan dua atau lebih komputer pada perangkat pengolahan informasi lain dalam area fisik yang terbatas yang digunakan untuk menyediakan
kemampuan
jaringan
telekomunikasi
yang
menghubungkan pengguna akhir di kantor-kantor, departemen, dan kelompok kerja lainnya.
2.1.13 Teori Wide Area Networks Menurut Cegielski (2013:151), Wide Area Network (WAN) adalah jaringan yang mencakup area geografis yang luas. Sedangkan menurut O’Brien (2009 : 223), WAN adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas. Jaringan ini telah menjadi kebutuhan untuk melaksanakan hari untuk kegiatan hari banyak bisnis dan organisasi pemerintah dan pengguna akhir mereka. Jadi Wide Area Network adalah jaringan telekomunikasi yang mencakup wilayah geografis yang luas.
14 2.1.14 Pengertian Website Menurut Cegielski (2013:165), sebuah website adalah berbasis web, gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda dan internet dengan menggunakan teknik pencarian dan pengindeksan yang maju. Corporate website menawarkan satu poin akses personal melalui web browser untuk informasi bisnis penting yang terletak di dalam dan di luar organisasi. Jadi dapat ditarik kesimpulan bahwa website adalah gerbang personal menuju informasi dan pengetahuan yang memberikan informasi yang relevan dari sistem TI yang berbeda.
2.1.15 Pengertian UML Menurut Lee (2012:157), Unified Modeling Language merupakan notasi standar dalam mengembangkan metodologi desain berorientasi obyek untuk aplikasi komputer. UML adalah alat untuk menentukan sistem perangkat lunak yang mencakup diagram standar untuk mendefinisikan, menggambarkan dan memetakan secara visual atau memodelkan desain perangkat lunak sistem dan struktur. Diagram UML termasuk menggunakan Usecase Diagram, Class Diagram , Sequence Diagram , Statechart Diagram, Activity Diagram, Component Diagram, dan Deployment Diagram. Sedangkan menurut Wixom (2013:511), UML adalah untuk menyediakan kosakata umum istilah berbasis obyek dan teknik diagram yang cukup kaya untuk model setiap proyek pengembangan sistem dari analisis untuk merancang. standar
Jadi dapat disimpulkan bahwa UML adalah notasi
yang digunakan dalam desain untuk pelaksanaan setiap
sistem dan perangkat lunak arsitektur serta
membantu mencapai
persyaratan fungsional dan non-fungsional dari sistem.
2.1.16 Teori Rich Picture Menurut penelitian dari Stenlund dalam Using Grounded Theory Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden (2010: 18), “That’s rich
15 picture diagrams are tools suitable for analyzing complex building process”, yang artinya rich picture adalah alat yang sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks.
2.1.17 Teori Event Table Menurut Rama (2008:3), event adalah
kejadian yang terjadi
pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Sebuah event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi event-event. Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi aktivitas-aktivitas yang terjadi dalam suatu rangkaian sistem yang berjalan dalam perusahaan.
2.1.18 Teori Overview Activity Diagram Menurut
Rama
(2008:79),
Overview
Activity
Diagram
menyajikan suatu pandangan tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian-kejadian penting, urutan kejadiankejadian ini, dan aliran informasi antar kejadian. Overview Activity Diagram bermanfaat dalam memahami kejadian-kejadian penting pada suatu proses bisnis, tanggung jawab atas kejadian ini, dan perpindahan informasi antar kejadian. Menurut Rama (2008 : 85), dalam menyiapkan overview activity diagram terdapat langkahlangkah sebagai berikut : a. Membaca narasi dan mengidentifikasi event-event yang penting. b. Mencatat narasi secara jelas untuk mengidentifikasi eventevent yang terlibat di dalamnya. c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi. d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi. e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut.
16 f. Menggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut. Jadi dapat ditarik kesimpulan bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan.
2.1.19 Teori Detailed Activity Diagram Menurut Rama (2008:110), detailed activity diagram adalah diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan di dalam overview diagram. Detailed activity diagram menunjukkan informasi mengenai aktivitas dalam suatu kejadian spesifik. Untuk membuat sebuah detailed activity diagram perlu untuk mengidentifikasi aktivitas individu dalam setiap kejadian. Jadi dapat disimpulkan bahwa detailed activity diagram merupakan diagram aktivitas UML yang menyediakan penyajian terperinci dari aktivitas dalam suatu kejadian spesifik.
2.1.20 Teori Workflow Menurut
Rainer (2011:169),
workflow
adalah
pergerakan
informasi yang mengalir melalui urutan langkah-langkah yang membentuk suatu prosedur kerja organisasi. Sedangkan menurut Rama (2008:111), workflow adalah tabel dengan dua kolom yang mengidentifikasikan para pelaku dan tindakan yang dilakukannya dari sebuah proses. Para pelaku yang melaksanakan aktivitas spesifik didaftarkan di dalam kolom pada sisi kiri. Aktivitas terkait didaftarkan pada sisi kanan. Aktivitas didaftarkan dengan menggunakan kata kerja aktif. Jadi dapat disimpulkan bahwa workflow adalah sebuah tabel sederhana dua kolom yang mengidentifikasikan pergerakan informasi yang mengalir melalui urutan langkah-langkah bagi para pelaku dan tindakan yang dilakukannya dari sebuah proses.
17 2.1.21 Teori Entity Relationship Diagram Menurut Hall (2013:49), ERD (Entity Relationship Diagram) adalah teknik dokumentasi yang digunakan untuk mewakili hubungan antara entitas bisnis. Entitas berlaku untuk suatu hal
dimana
organisasi menangkap data. Suatu entitas mungkin sumber daya fisik, suatu peristiwa, atau agen. Sedangkan menurut Roth (2013:224), ERD
(Entity
Relationship
Diagram)
adalah
gambar
yang
menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh sistem bisnis. Pada ERD, jenis yang sama dari informasi yang tercantum bersama-sama dan ditempatkan di dalam kotak yang disebut entitas. Garis ditarik antara entitas untuk mewakili hubungan antar data, dan simbol khusus ditambahkan ke diagram untuk berkomunikasi aturan bisnis tingkat tinggi yang perlu didukung oleh sistem. Jadi dapat disimpulkan bahwa Entity Relationship Diagram yaitu teknik dokumentasi yang digunakan untuk menunjukkan informasi yang dibuat, disimpan, dan digunakan oleh entitas bisnis. 2.1.22 Pengertian Siklus Pendapatan Menurut Rama (2008:23), siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan. Siklus pendapatan dari jenis organisasi yang berbeda dapat saja sama dan mencakup didalamnya sebagian atau semua kegiatan berikut ini : 1. Merespon permintaan informasi dari pelanggan. 2. Membuat
perjanjian
dengan
para
pelanggan
untuk
menyediakan barang dan jasa di masa mendatang. Contoh perjanjiannya adalah Purchased Order& Sales Order. 3. Menyediakan jasa atau mengirim barang ke pelanggan. 4. Melakukan penagihan ke pelanggan. Perusahaan akan mengakui klaimnya terhadap pelanggan dengan mencatat piutang dan menagih pelanggan. 5. Melakukan penagihan uang. 6. Menyetorkan uang ke bank. 7. Menyusun laporan Contohnya adalah laporan daftar pesanan, daftar pengiriman, dan daftar penerimaan kas.
18 Menurut pendapatan
Speer
adalah
(2012:399), dokumen
penjualan
formal
yang
di
dalam
disusun
siklus dengan
menggunakan formulir pemesanan pelanggan yang berupa satu salinan dokumen tersebut juga siap untuk memulai pengiriman dan menerima pembayaran dari pelanggan. Pesanan penjualan disiapkan oleh penjual dalam penjualan unit. Jadi dapat ditarik kesimpulan bahwa siklus pendapatan mengacu pada proses menyediakan barang dan jasa untuk para pelanggan dengan menyertakan dokumen formal yang disusun dengan menggunakan formulir pemesanan pelanggan.
2.1.23 Pengertian Penjualan Kredit Menurut Anggadini (2011:165), penjualan kredit adalah aktivitas penjualan yang menimbulkan tagihan/klaim/piutang kepada pembeli sehingga penjual tidak menerima uang tunai pada saat barang diserahkan kepada pembeli. Sedangkan menurut Vini Mariani (2011: 274), penjualan kredit dan piutang merupakan dua hal yang tidak dapat dipisahkan, karena penjualan kredit akan selalu menimbulkan piutang. Tidak ada atau lemahnya pengendalian internal dalam sistem akuntansi penerimaan kas akan berakibat semakin besarnya resiko kerugian yang akan ditanggung perusahaan akibat tak tertagihnya piutang
maupun
penyimpangan
atau
kecurangan
akan
yang
mengakibatkan terancamnya kelangsungan hidup perusahaan. Untuk itu diperlukan adanya pengendalian internal yang baik untuk mendukung sistem akuntansi ketiganya. Prosedur penjualan kredit terdiri dari aktivitas : a. Permintaan informasi persediaan barang/jasa b. Penerimaan pesanan penjualan c. Pengecekan persediaan dan harga d. Persetujuan kredit e. Pengambilan barang/persediaan f. Pembuatan faktur penjualan g. Pengiriman barang
19 h. Pencatatan transaksi i. Penagihan Jadi
dapat
ditarik
kesimpulan
bahwa
penjualan
kredit
menimbulkan piutang dan keduanya merupakan hal yang tidak bisa dipisahkan dan juga penjualan barang dagang yang dilakukan secara tidak tunai dan dicatat sebagai debit pada perkiraan piutang dagang dan kredit pada perkiraan penjualan.
2.2
Teori Khusus 2.2.1 Pengertian Risiko Menurut Peltier (2005:16), risiko merupakan fungsi dari kemungkinan yang mengidentifikasikan ancaman yang akan terjadi, dan kemudian dampak bahwa ancaman akan terjadi pada proses atau misi dari aset dalam bisnis. Sedangkan Istiningrum (2011:2), risiko mengandung tiga unsur pembentuk risiko, yaitu (i) kemungkinan kejadian atau peristiwa, (ii) dampak atau konsekuensi jika terjadi, risiko akan membawa akibat atau konsekuensi, dan (iii) kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas). Jadi dapat ditarik kesimpulan bahwa risiko adalah kemungkinan yang mengidentifikasikan ancaman yang akan terjadi dalam bisnis yang dapat menimbulkan kerugian.
2.2.1.1 Komponen Risiko Menurut
Arens (2012:281), komponen risiko adalah sebagai
berikut: 1. Risiko Deteksi yang Direncanakan (Planned Detection Risk) Risiko bahwa bukti audit untuk segmen akan gagal mendeteksi salah saji yang melebihi toleransi. 2. Risiko Audit yang Dapat Diterima (Acceptable Audit Risk) Ukuran tentang kesediaan auditor untuk menerima bahwa laporan keuangan mungkin disalahsajikan secara material setelah audit selesai dan pendapat wajar tanpa pengecualian telah dikeluarkan. 3. Risiko Inheren (Inherent Risk)
20 Ukuran penilaian auditor tentang kemungkinan bahwa ada salah saji yang material dalam suatu segmen sebelum mempertimbangkan keefektifan pengendalian internal. 4. Risiko Pengendalian (Control Risk) Ukuran penilaian auditor mengenai kemungkinan bahwa salah saji melampaui jumlah yang dapat ditoleransi dalam suatu segmen tidak akan tecegah atau terdeteksi oleh pengendalian internal klien.
2.2.1.2
Upaya Penanggulangan Risiko Menurut Yasa (2013:33), tindakan yang dilakukan untuk mengurangi risiko yang muncul disebut mitigasi/ penanganan risiko (risk mitigation). Tindakan yang dapat dilakukan dalam menangani risiko yaitu : 1. Menahan Risiko (Risk Retention) Tindakan ini dilakukan karena dampak dari suatu kejadian yang merugikan masih dapat diterima (acceptable). 2. Mengurangi Risiko (Risk Reduction) Mengurangi
risiko
dilakukan
dengan
mempelajari
secara
mendalam risiko tersebut, dan melakukan usaha-usaha pencegahan pada sumber risiko atau mengkombinasikan usaha agar risiko yang diterima tidak terjadi secara simultan. 3. Memindahkan Risiko (Risk Transfer) Dilakukan dengan cara mengansuransikan risiko baik sebagian atau seluruhnya kepada pihak lain. 4. Menghindari Risiko (Risk Avoidance) Dilakukan dengan menghindari aktivitas yang tingkat kerugiannya tinggi.
2.2.2 Risiko Teknologi Informasi 2.2.2.1 Kategori Risiko Teknologi Informasi Menurut teknologi
Hughes
(2006:34),
kategori
risiko
informasi antara kehilangan informasi potensial
21 dan pemulihannya, antara lain : 1. Security Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber. 2. Availability Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan
konfigurasi,
kurangnya
pengurangan
arsitektur atau akibat lainnya. 3. Recoverability Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah
kejadian
keamanan
atau
ketersediaan
seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. 4. Performance Risiko
dimana
diperlukan
yang
informasi
tidak
diakibatkan
tersedia oleh
saat
arsitektur
terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Scalability Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif. 6. Compliance Risiko
yang
manajemen
atau
pengginaan
informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.
22
2.2.3 Penilaian Risiko 2.2.3.1 Pengertian Penilaian Risiko Menurut Peltier (2005:16), penilaian risiko adalah proses kedua dalam manajemen siklus hidup risiko. Organisasi menggunakan penilaian risiko untuk menentukan ancaman apa yang ada untuk suatu aset dan tingkat risiko terkait ancaman itu. Prioritas ancaman (penentuan tingkat resiko) memberikan organisasi berupa informasi yang diperlukan untuk memilih tindakan yang tepat kontrol, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Organisasi harus menetapkan ambang batas dari risiko yang dapat diterima dan melaksanakan penanggulangan yang memadai untuk
mengurangi
risiko
ke
tingkat
yang
ditentukan
manajemen. Setiap kali penilaian risiko yang akan dilakukan, profesional manajemen risiko harus bertemu dengan klien untuk menentukan apa yang dikaji, apa jenis elemen risiko yang harus diperiksa, dan apa yang klien perlu sebagai penyampaian atau hasil dari proses. Tujuan dari proses penilaian risiko adalah untuk menentukan dampak ancaman terhadap aset informasi berdasarkan : 1. Integritas (Integrity) Segala macam informasi tanpa adanya modifikasi yang tidak sah (asli). Beberapa contoh dari ancamannya yaitu menggunakan/ menghasilkan laporan yang salah, memodifikasi/mengganti bebrapa informasi, salah mengartikan informasi, dsb. 2. Kerahasiaan (Confidentiality) Informasi yang ada diperusahaan bersifat rahasia dan hanya pihak yang berwenang yang dapat mengakses dari
informasi
tersebut.
Beberapa
contoh
dari
ancamannya yaitu penyalahgunaan hak akses oleh yang tidak berwenang, memberikan informasi tanpa
23 seizin pihak yang berwenang, mengawasi transaksi, dsb. 3. Ketersediaan sumber daya informasi (Availability) Aplikasi,
sistem,
atau
sumber
informasi
yang
diperlukan oleh perusahaan tersedia saat dibutuhkan. Beberapa contoh dari ancamannya yaitu perusakan informasi, menunda ketersediaan akses informasi, bencana besar ( kebakaran, banjir,dsb).
2.2.3.2 Proses Penilaian Risiko Menurut Moteff (2004:2), penilaian risiko melibatkan integrasi ancaman, kerentanan, dan informasi konsekuensi. Manajemen risiko melibatkan memutuskan langkah-langkah protektif untuk mengambil berdasarkan disepakati strategi pengurangan risiko. Banyak model / metodologi yang telah dikembangkan dimana ancaman, kerentanan, dan risiko yang terintegrasi dan kemudian digunakan untuk menginformasikan alokasi sumber daya untuk mengurangi risiko tersebut. Sedangkan
menurut
Peltier
(2005:16),
organisasi
menggunakan penilaian risiko untuk menentukan apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. Ancaman prioritas (penentuan tingkat risiko) memberikan organisasi dengan informasi yang dibutuhkan untuk memilih tindakan kontrol yang tepat, perlindungan, atau tindakan untuk menurunkan risiko ke tingkat yang dapat diterima. Terdapat 6 langkah dalam proses penilaian risiko, yaitu : 1. Mengidentifikasi aset 2. Mengidentifikasi,
mengkarakterisasi,
dan
menilai
ancaman Sebuah sumber ancaman didefinisikan sebagai keadaan
atau
peristiwa
dengan
potensi
untuk
24 menyebabkan kerusakan pada aset. Biasanya, ada tiga kategori utama dari sumber ancaman : a. Natural Threats : Banjir, gempa bumi, tornado, tanah longsor, longsoran, badai listrik, dan acara lain . b. Human Threats : Tindakan yang dimulai atau disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (fraud, perangkat lunak berbahaya, akses yang tidak sah ). c. Environmental Threats : Listrik padam jangka panjang,
polusi,
tumpahan
bahan
kimia,
kebocoran cairan.
3. Menentukan probabilitas kejadian Terdapat 3 level dalam menentukan kemungkinan terjadinya ancaman, yaitu : a. High :
Sangat mungkin bahwa ancaman
akan terjadi dalam tahun depan. b. Medium : Kemungkinan bahwa ancaman mungkin terjadi selama tahun depan. c. Low : Rendah probabilitas - Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun depan. 4. Menentukan dampak dari ancaman Terdapat 3 level dalam menentukan dampak ancaman, yaitu : a. High Impact : Mematikan unit bisnis penting yang mengarah ke kerugian yang signifikan dari bisnis, citra perusahaan, atau keuntungan. b.
Medium Impact : Gangguan proses kritis atau sistem yang mengakibatkan kerugian
25 keuangan yang terbatas untuk unit bisnis tunggal. c.
Low Impact : Gangguan tanpa kehilangan keuangan.
5. Merekomendasikan pengendalian Mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. 6. Mendokumentasikan hasil
2.2.4 Penilaian Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAAP. 2.2.4.1 Pengertian
FRAAP
(Facilitated
Risk
Analysis
&
Assessment Process) Menurut Peltier (2005:132), FRAAP (Facilitated Risk Analysis& Assessment Process) merupakan metodologi formal yang dikembangkan melalui pemahaman dalam
proses
penilaian risiko kualitatif dan dimodifikasi untuk memenuhi kebutuhan bisnis. FRAAP telah dikembangkan sebagai proses yang efisien dan disiplin untuk memastikan bahwa informasi terkait risiko keamanan untuk operasi bisnis dipertimbangkan dan didokumentasikan. Proses ini melibatkan menganalisis satu sistem, platform aplikasi, proses bisnis, atau segmen operasi bisnis pada suatu waktu. Dengan menggunakan FRAAP diharapkan proses
analisis risiko dapat dilakukan
dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. Selama sesi FRAAP, tim mengungkapkan pendapat tentang ancaman yang potensial, vulnerability, dan hasil dari dampak negatif pada integritas data, confidentiality, serta
26 availability. Kemudian tim akan menganalisis pengaruh dampak tersebut terhadap operasi bisnis dan secara luas mengkategorikan risiko menurut prioritas levelnya. Tim biasanya
tidak
mencoba
untuk
mendapatkan
atau
mengembangkan angka yang spesifik untuk kemungkinan terjadinya ancaman atau perkiraan kerugian tahunan meskipun data untuk menentukan faktor-faktor tersebut tersedia. Tim bergantung pada pengetahuan umum dari ancaman dan kerentanan yang diperoleh dari pusat respon insiden nasional, asosiasi profesi dan literatur, dan pengalaman mereka sendiri. Setelah mengidentifikasi dan mengkategorikan risiko, tim
mengidentifikasi
pengendalian
yang
dapat
diimplementasikan untuk mengurangi risiko, berfokus pada pengendalian yang paling efektif dari segi biaya. Tim akan menggunakan titik awal dari 34 kontrol umum yang dirancang untuk mengatasi berbagai jenis risiko. Pada akhirnya, keputusan seperti apa yang dibutuhkan terkait pengendalian terletak pada manajer bisnis yang mempertimbangkan sifat aset-aset informasi dan pentingnya mereka bagi operasi bisnis dan biaya pengendalian. Kesimpulan tim mengenai risikorisiko apa yang ada, bagaimana prioritasnya, dan pengendalian apa yang yang dibutuhkan, didokumentasikan dan dikirim kepada
pimpinan
proyek
dan
manajer
bisnis
untuk
menyelesaikan action plan.
2.2.4.2
Tahapan FRAAP Menurut Peltier (2005:131), pendekatan FRAAP (Facilitated Risk Analysis & Assessment Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAAP terdiri dari 3 tahapan, yaitu : 1. Pre-FRAAP Meeting Pre-FRAAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini
27 pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini : a.
Hasil
Penyaringan
(Prescreening
Results) Tidak setiap aplikasi, proses bisnis, atau
sistem
perlu
memiliki
proses
penilaian risiko formal maupun analisis dampak bisnis yang dilakukan. Apa yang dibutuhkan adalah sebuah metodologi formal
yang
enterprisewide
memungkinkan
untuk
yang
penyaringan
aplikasi dan sistem untuk menentukan kebutuhan.
Ketika
mengembangkan
metodologi penyaringan, yang terbaik adalah mulai dengan pemahaman yang jelas tentang apa tujuan atau misi dari perusahaan
bisnis.
menggunakan
informasi
Dengan ini
sebagai
dasar, dapat mengembangkan sejumlah pertanyaan yang dapat diselesaikan oleh pemimpin proyek dan manajer bisnis dalam pre-FRAAP meeting. Pertanyaanpertanyaan ini akan memungkinkan fasilitator dan pemilik untuk menentukan apakah penilaian risiko formal maupun analisis
dampak
bisnis
harus
diselesaikan. Hasil penyaringan dapat mengubah kebutuhan untuk melakukan penilaian risiko.
Tabel 2.1 Contoh Prescreening Impact Information
Description
Longest
28 Value
Classification Level
Tolerable Outage
1
Top Secret
Informasi yang rahasia, yang jika
24 Jam
diungkapkan, bisa menimbulkan dampak parah pada perusahaan keunggulan kompetitif atau bisnis strategi 2
Confidential
Informasi yang jika diungkapkan,
25 – 72
bisa melanggar privasi individu,
Jam
mengurangi keunggulan kompetitif, atau merusak perusahaan 3
Restricted
Informasi yang tersedia untuk
3–5
bagian spesifik dari
Hari
populasi karyawan ketika melakukan bisnis perusahaan 4
Internal Use
Informasi yang dimaksudkan
6–9
untuk digunakan oleh seluruh
Hari
karyawan ketika melakukan bisnis perusahaan 5
Public
Informasi yang ada tersedia bagi
10 hari -
publik
12 hari
b.
Ruang Lingkup Pemimpin proyek dan manajer bisnis membuat
pernyataan
peluang-peluang
yang
mengenai ada
untuk
kemudian ditinjau. c.
Model Visual Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali. Model visual digunakan selama sesi FRAAP untuk
29 memperkenalkan tim dengan dimana proses dimulai dan berakhir. d. Pembentukan Tim FRAAP Membangun tim FRAAP yang terdiri atas 15 - 30 orang anggota yang berhubungan dengan sistem yang terkait seperti : functional owners, system user, system
analyst,
application
programming, database administration, processing system
operation
management,
administrator,
programming,
dan
system information
security.
e.
Pertemuan Teknis Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan.
f.
Persetujuan
Definisi
(Agreement
of
Definition) Dalam sesi pre-FRAAP dibutuhkan persetujuan terhadap definisi FRAAP. Persetujuan berdasarkan
tersebut pada
haruslah
adanya
threat
,
control,probability dan impact. Selain itu perlu juga menyepakati definisi dari elemen
review
(integritas,
kerahasiaan,ketersediaan).
2. FRAAP Session Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah:
30 a. Identifikasi Ancaman Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis perusahaan. b. Prioritas Risiko Menentukan risiko utama dari semua risiko yang mungkin memilki
ancaman
terjadi (yang terbesar).
Berikut
adalah tabel definisi yang digunakan untuk mengidentifikasi tingkat risiko .
Tabel 2.2 Definisi Kemungkinan (Probability) dalam FRAAP Deskripsi Kemungkinan
Kemungkinan bahwa suatu peristiwa akan terjadi atau nilai kerugian yang spesifik
High
Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan
Medium
Kemungkinan bahwa ancaman akan terjadi dalam tahun depan
Low
Tidak mungkin bahwa ancaman akan terjadi dalam tahun depan
Tabel 2.3 Definisi Dampak (Impact) dalam FRAAP Deskripsi Dampak
Sebuah ukuran besarnya kerugian atau kerusakan pada nilai suatu aset
High
cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan.
Medium
akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan.
Low
operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.
31 c. Memberikan saran pengendalian (Suggested Controls) Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi. Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan pengendalian yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kemungkinan ancaman
yang
dapat
terjadi
pada
sistem
perusahaan.
IMPACT High
Medium
Low
High
A
B
C
Medium
B
B
C
Low
C
C
D
Keterangan: A – Tindakan perbaikan harus diimplementasikan B – Tindakan perbaikan yang diusulkan C – Membutuhkan pemantauan D – Tidak ada tindakan yang diperlukan Gambar 2.1 FRAAP Risk Level Matrix
Setelah tingkat risiko telah ditetapkan, maka dilakukan dokumentasi pengendalian apa saja yang perlu diterapkan untuk menanggulangi ancamanancaman yang ditemukan. Proses selanjutnya yang dilakukan adalah menentukan pengendalian yang diusulkan (suggested control) atas risiko yang terjadi.
Suggested
control
dilakukan
untuk
32 mengurangi tingkat kerentanan pada sistem yang digunakan pada perusahaan. Sehingga risiko yang terjadi di perusahaan dapat berkurang. Selain itu, Suggested
control
juga
dilakukan
untuk
memberikan saran kepada perusahaan mengenai kontrol yang perlu ditambahkan. Berikut ini merupakan tabel daftar pengendalian berdasarkan kelas pengendalian yang ada menurut Peltier (2005:176) :
Tabel 2.4 Definisi Kontrol Menurut Organisasi IT dan Kelompok yang Mendukung Proses Bisnis Nomor Kelompok Descriptor Pengendalian TI 1 Pengendalian Backup Operasi
2
3
Definisi
Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi , termasuk pemberitahuan elektronik di mana backup telah selesai, dapat dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengendalian Rencana Pemulihan Pengembangan, dokumen Operasi ,dan pengetesan prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Pengendalian Analisa Risiko Melakukan analisa risiko Operasi untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan dan pengendalian.
33 4
5
6
7
8
9
10
11
Pengendalian Antivirus Operasi
(1) Memastikan bahwa administrator LAN menerapkan antivirus sesuai standar perusahaan pada semua komputer. (2) Pelatihan dan kesadaran teknik pencegahan virus akan diterapkan ke dalam program perlindungan informasi organisasi. Pengendalian Depensi Antarmuka Sistem yang membutuhkan Operasi informasi akan diidentifikasi dan dikomunikasikan dengan proses operasi dalam upaya penekanan dampak atas kesalahan aplikasi. Pengendalian Pemeliharaan Persyaratan waktu untuk Operasi pemeliharaan teknis akan diteliti dan permintaan untuk penyesuaian akan dikomunikasikan kepada pihak manajemen. Pengendalian Service level Menetapkan perjanjian Operasi Agreement tingkat layanan untuk menetapkan tingkat harapan dari pelanggan dan jaminan dari operasi pendukung yang ada. Pengendalian Pemeliharaan Menetapkan perjanjian bagi Operasi pemasok & pemeliharaan, untuk memfasilitasi status operasional berkelanjutan dari aplikasi. Pengendalian Manajemen Pengendalian migrasi Operasi Perubahan produksi seperti proses pencarian dan penghapusan data ,untuk memastikan penyimpanan data yang bersih. Pengendalian Analisis Dampak Analisis dampak bisnis Operasi Bisnis formal akan dilakukan untuk menentukan nilai kekritisan relatif dari suatu aset dengan aset lainnya. Pengendalian Backup Pelatihan backup bagi Operasi sistem administrator akan dilakukan beserta rotasi tugas, untuk memastikan efektifitas dari program
34
12
13
14
15
16
17
pelatihan yang telah dilakukan. Pengendalian Backup Program kesadaran Operasi keamanan bagi karyawan harus diterapkan, diperbarui dan dilaksanakan setiap tahun. Pengendalian Rencana Pemulihan Menerapkan mekanisme Operasi untuk membatasi akses informasi kepada jaringan tertentu atau terhadap lokasi fisik yang ditetapkan. Contohnya backup yang dibuat, jika terjadinya kemungkinan kehilangan data. Pengendalian Analisa Risiko Menerapkan mekanisme Operasi otentikasi pengguna (seperti firewall, control dial-in, secure ID) untuk membatasi hak akses bagi yang tidak memiliki kewenangan dalam mengakses suatu informasi didalam sistem. Pengendalian Pengendalian Merancang dan menerapkan Aplikasi Aplikasi pengendalian aplikasi (pemeriksaan data yang masuk, melakukan validasi , indikator alarm, menilai password yang invalid) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. Pengendalian Pengujian Pengembangan prosedur Aplikasi Penerimaan pengetesan, yang harus dilakukan selama pengembangan aplikasi dijalankan, dan dalam proses modifikasi aplikasi yang diikuti dengan partisipasi dari pengguna. Pengendalian Pelatihan Melaksanakan program user Aplikasi (evaluasi kinerja pengguna) yang dirancang untuk mendorong kepatuhan terhadap kebijakan dan prosedur yang ada untuk memastikan pemanfaatan yang tepat dari penggunaan
35
18
Pengendalian Pelatihan Aplikasi
19
Pengendalian Strategi Korektif Aplikasi
20
Pengendalian Kebijakan Keamanan
21
Pengendalian Pelatihan Keamanan
22
Pengendalian Review Keamanan
23
Pengendalian Klasifikasi Aset Keamanan
24
Pengendalian Pengendalian Keamanan Akses
aplikasi. Pengembang aplikasi akan memberikan dokumentasi, bimbingan, dan dukungan kepada staf operasi (operasi) dalam mekanisme pelaksanakan untuk memastikan keamanan transfer informasi antara aplikasi. Tim pengembang akan mengembangkan strategi korektif seperti pemprosesan ulang, merevisi/ merubah logika aplikasi, dll. Mengembangkan kebijakan dan prosedur untuk membatasi hak akses dan mengoperasikan hak istimewa sesuai dengan kebutuhan bisnis. Pelatihan pengguna akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Contohnya seperti pentingnya menjaga kerahasiaan atas akun pribadi, nilai password, dan penekanan atas pentingnya menjaga informasi. Menerapkan mekanisme untuk memantau, melaporkan, dan kebutuhan atas kegiatan audit diidentifikasi , termasuk pengecekan berkala atas validitas ID pengguna untuk memverifikasi kebutuhan bisnis. Aset yang sedang ditinjau akan diklasifikasikan sesuai dengan kebijakan perusahaan, standar, dan prosedur klasifikasi aset. Mekanisme untuk melindungi database dari akses yang tidak sah, dan modifikasi yang dilakukan
36
25
Pengendalian Dukungan Keamanan Manajemen
26
Pengendalian Hak Milik Keamanan
27
Pengendalian Kesadaran Keamanan Keamanan
28
Pengendalian Pengendalian Keamanan Akses
29
Pengendalian Pengendalian Keamanan Akses
30
Pengendalian Pengendalian Keamanan Akses
dari luar aplikasi, akan ditentukan dan dilaksanakan. Meminta dukungan manajemen untuk menjamin kerjasama dan koordinasi dari berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. Proses untuk memastikan bahwa aset milik perusahaan dilindungi dan bahwa perusahaan telah memenuhi semua perjanjian lisensi dari pihak ketiga. Menerapkan mekanisme pengendalian akses untuk mencegah akses tidak sah pada informasi. Mekanisme ini akan mencakup kemampuan untuk mendeteksi, logging, dan pelaporan jika ada upaya untuk pelanggaran keamanan informasi ini. Melaksanakan mekanisme enkripsi data untuk mencegah akses yang tidak sah untuk melindungi integritas sebuah kerahasiaan informasi. Mematuhi proses manajemen perubahan yang dirancang untuk memfasilitasi pendekatan terstruktur untuk modifikasi aplikasi, guna memastikan langkah yang tepat dan tindakan pencegahan yang akan diterapkan. Modifikasi darurat harus disertakan dalam proses ini. Prosedur pengendalian yang diterapkan untuk melakukan review proses sistem log oleh pihak ketiga secara independen untuk menganalisa kegiatan sistem update yang dilakukan.
37 31
Pengendalian Pengendalian Keamanan Akses
32
Pengendalian Manajemen Keamanan Perubahan
33
Pengendalian Monitor Keamanan system logs
34
Keamanan Fisik
Keamanan Fisik
Setelah
Melakukan konsultasi dengan manajemen fasilitas, guna memfasilitasi kegiatan pelaksanaan pengendaliam keamanan fisik yang dirancang untuk melindungi informasi, perangkat lunak, dan perangkat keras yang dibutuhkan sistem. Persyaratan backup akan ditentukan dan dikomunikasikan dengan operasi, termasuk permintaan mengenai notifikasi elektronik backup yang telah diselesaikan, harus dikirim ke administrator sistem aplikasi. Operasi akan diminta untuk menguji prosedur backup. Pengembangan, dokumen, dan pengetesan prosedur pemulihan, yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat dipulihkan dari risiko, dengan menggunakan prosedur backup yang telah dibuat, dalam kejadian yang dapat merugikan. Melakukan analisa risiko untuk menentukan tingkat ancaman, dan mengidentifikasi kemungkinan perlindungan atau pengendalian.
penentuan
suggested
control,
tim
FRAAP mengidentifikasi pengendalian yang ada untuk ancaman tingkat tinggi. Pada tahapan ini, tim FRAAP berdiskusi mengenai beberapa hal, antara lain sebagai berikut : • Identifikasi pengendalian yang sudah ada (Existing Control) pada ancaman
38 • Identifikasi pengendalian untuk setiap ancaman tingkat
tinggi
yang
belum
terdapat
pengendalian • Identifikasi bagian/orang yang bertanggung jawab untuk implementasi pengendalian yang baru Dari diskusi tersebut akan dihasilkan 6 poin penting dalam FRAAP Session, yaitu : 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan
pengendalian
yang
diusulkan 4. Pengendalian yang ada diidentifikasi 5. Pengendalian
terhadap
risiko
high-level
ditetapkan 6. Memilih
kelompok
bertanggung
atau
orang
jawab
mengimplementasikan
yang untuk
rekomendasi
pengendalian yang diusulkan sebelumnya.
3. Post FRAAP Meeting Dalam fase ini, FRAAP menghasilkan laporan yang akan menetapkan penilaian risiko apa yang dicapai dan bagaimana manajemen melakukan pemeriksaan menyeluruh yang diperlukan. Selama fase ini fasilitator dan pemilik akan bekerja untuk mengumpulkan rencana aksi penilaian risiko. Rencana ini akan mencakup semua penyampaian dari tahap sesi FRAAP yaitu: 1. Ancaman (threat) teridentifikasi 2. Tingkat risiko (level risk) telah ditetapkan 3. Mendokumentasikan pengendalian yang diusulkan
39 4. Pengendalian yang ada diidentifikasi 5. Pengendalian terhadap risiko high-level ditetapkan 6. Orang/bagian yang bertanggung jawab dalam
mengimplementasi
pengedalian
yang diusulkan Informasi ini akan dikombinasikan dengan pemeriksaan kontrol biaya, dan laporan akhir yang akan muncul. Post FRAAP Meeting menghasilkan tiga penyampaian , yaitu :
a. Membuat Complete Action Plan Untuk mendapatkan laporan lengkap, project
leader
dan
fasilitator
harus
membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana
aksi
membantu
tersebut
agar
perusahaan
dapat dalam
melaksanakan penetapan kontrol yang diusulkan.
b. Membuat ringkasan laporan manajemen (Management Summary Report) Ringkasan laporan manajemen harus dihasilkan
yang
didalamnya
akan
merangkum temuan dari proses dalam dokumen yang ringkas. Laporan ringkasan manajemen akan memberikan gambaran temuan penilaian risiko dan digunakan untuk
melengkapi
dokumentasi
hasil
40 temuan keseluruhan. Laporan ini terdiri dari 6 kunci utama, yaitu : -
Penilaian anggota tim.
-
Ringkasan manajemen
-
Metodologi yang digunakan dalam penilaian
-
Kajian temuan dan rencana
-
Dokumentasi temuan
-
Kesimpulan.
c. Membuat Cross-References Sheet Membuat
cross-reference
berdasarkan
tabel
pengendalian
risiko
untuk
sheet
dan
tabel
mengidentifikasi
pengendalian yang cocok dengan risiko yang teridentifikasi. Tujuan dari Cross – Reference
Sheet
ini
adalah
untuk
menentukan dan mengetahui pengendalian mana saja yang dapat memitigasi risikorisiko yang ada. Pada Cross - Reference Sheet,
kita
dapat
melihat
satu
pengendalian memitigasi lebih dari satu risiko, sehingga hal tersebut bisa menjadi bantuan bagi tim FRAAP dan fasilitator dalam menentukan sumber daya terbaik guna menangani risiko-risiko yang telah ditemukan.
2.2.5 Sistem Aplikasi Microsoft Dynamics Navision versi 4.0 Menurut
http://www.microsoft.com
,
Microsoft
Dynamics
Navision merupakan sebuah produk ERP (Enterprise Resources Planning) yang dikembangkan oleh Microsoft. Produk ini merupakan bagian dari paket Microsoft Dynamics dan bertujuan untuk membantu bagian keuangan, produksi, manajemen hubungan pelanggan, analisis dan perdagangan elektronik bagi perusahaan level kecil dan
41 menengah. Pada bulan Desember 2008, Microsoft merilis Dynamics Navision 2009, dengan peranan baru berbasis GUI. Microsoft awalnya merencanakan untuk mengembangkan sistem ERP yang sama sekali baru (proyek hijau), tetapi telah memutuskan untuk melanjutkan pengembangan semua sistem ERP (Dynamics AX, Dynamics NAV, Dynamics GP dan Dynamics SL). Keseluruhan empat sistem ERP akan diluncurkan dengan user interface berbasis aturan baru yang sama, pelaporan dan analisis berbasis SQL, portal berbasis SharePoint, mobile client berbasis Pocket PC dan integrasi dengan Microsoft Office. Modul yang terdapat dalam
Microsoft Dynamics Navision
mencakup : 1.
Penjualan (Sales) Modul
ini
digunakan
untuk
menjamin
pengiriman tepat waktu produksi yang dijadwalkan. Dijadwalkan jumlah produksi dihitung sesuai dengan kebutuhan
produksi,
penjualan
dan
pesanan
dijadwalkan internal perusahaan itu. 2.
Penjualan dan Pemasaran (Sales&Marketing) Modul ini digunakan untuk mengatur dan mengelola kegiatan. Fungsi utama adalah: harga, cadangan dan jasa, manajemen order, manajemen harga promosi. Modul ini menyediakan informasi umum tentang parameter proses penjualan (volume penjualan, produk, profitabilitas klien, dan kampanye, status pesanan).
3.
Distribusi (Distribution) Modul ini bertanggung jawab untuk manajemen distribusi yang fleksibel dan efektif. Sementara menggunakan fungsi penyimpanan Navision, pengguna dapat mengoptimalkan produksi manajemen arus,
42 keseimbangan pasokan minim, pengiriman produksi sesuai dengan kebutuhan klien. 4.
Inventori (Supply Chain Management) Modul ini untuk mengelola permintaan klien sesuai dengan pasokan. Fungsi ini memungkinkan untuk mengelola pembelian, produksi dan proses distribusi.
Komponen
utama
adalah:
penjualan,
produksi dan manajemen distribusi. 5.
Manufaktur (Production) Modul
ini
digunakan
untuk
menjamin
manajemen produksi dijadwalkan secara efektif. Dapat memodifikasi metode produksi sesuai dengan berbagai kebutuhan nasabah, untuk mengatur biaya produk bersih perhitungan kembali sesuai dengan berbagai produksi dan harga saham. 6.
Manajemen Keuangan (Financial Management) Modul ini bertanggung jawab untuk analisis operasi keuangan perusahaan dan penyimpanan, mengelola anggaran dan membandingkan perkiraan untuk data aktual.
7.
Sumber
Daya
Manusia
(Customer
Relationship
Management) Modul ini untuk menyimpan dan mengelola informasi tentang hubungan perusahaan antara klien dan
pelanggan.
Modul
ini
berguna
ketika
merencanakan penjualan, pemasaran dan strategi penanganan.
Strategi Perusahaan,
yang
meliputi
hubungan antara klien dan pelanggan dengan cara yang berbeda: penjualan, pemasaran, layanan, penciptaan produk baru, harga ,dll 8.
Service Management
43 Layanan Kualitatif profitabilitas dan outbidding kebutuhan modul analisis klien bertanggung jawab untuk mengendalikan dan efektif menggunakan sumber daya yang mungkin, penanganan layanan penentuan indeks profitabilitas, menganalisis permintaan klien.