BAB 2 LANDASAN TEORI

BAB 2 LANDASAN TEORI

2.1 Evaluasi Menurut Umar (2005, p36), evaluasi adalah suatu proses untuk menyediakan informasi tentang sejauhmana suatu kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh. Menurut Akmal (2009, p9) evaluasi adalah penilaian tentang bagaimana program dijalankan, apakah proses dan dampaknya sudah sesuai dengan yang diharapkan, serta mengecek faktor-faktor penghambat yang dihadapi, dan faktorfaktor pendukung yang dimiliki, untuk mencapai tujuan. Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa evaluasi merupakan suatu penilaian efektifitas atas kegiatan yang ada apakah sudah sesuai dengan standar yang telah ditetapkan atau tidak. 2.2 Pengendalian Internal 2.2.1 Pengertian Pengendalian Internal Menurut Gondodiyoto (2007, p255) Pengendalian Internal atau Internal Control merupakan keseluruhan mekanisme yang merupakan bagian 7 

8   

integral dari sistem dan prosedur kerja suatu organisasi, dan disusun sedemikian rupa untuk menjamin bahwa pelaksanaan kegiatan organisasi sudah sesuai dengan yang seharusnya. Menurut Rama dan Jones (2009, p132) Pengendalian Internal atau Internal Control merupakan suatu proses yang dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk memberikan kepastian yang beralasan terkait dengan pencapaian sasaran kategori sebagai berikut : efektivitas dan efesiensi operasi, kendala pelaporan keuangan, dan ketaatan terhadap hukum dan peraturan yang berlaku. Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa pengendalian internal adalah proses pengendalian yang dilakukan oleh pihakpihak yang terkait (internal perusahaan) terhadap kinerja perusahaan agar sesuai dengan tujuan.

2.2.2 Tujuan Pengendalian Internal Menurut Gondodiyoto (2007, p260) tujuan disusunnya pengendalian internal komputerisasi adalah untuk : a. Meningkatkan pengamanan (improved safeguard) aset sistem informasi (data/catatan akuntansi) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructure, dan sebagainya.

9   

b. Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. c. Meningkatkan efektivitas sistem (improve system effectiveness). d. Meningkatkan efisiensi sistem (improve system efficiency).

2.2.3 Faktor Penyebab Berkembangnya Pengendalian Internal Menurut Gondodiyoto (2007, p249), Faktor-faktor yang menyebabkan sistem pengendalian internal berkembang adalah: a. Perkembangan kegiatan dan skalanya menyebabkan kompleksitas struktur sistem dan prosedur suatu organisasi makin rumit. Untuk dapat mengawasi operasi organisasi, manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan analisa. b. Tanggung jawab utama untuk melindungi aset organisasi, mencegah dan menemukan kesalahan-kesalahan serta kecurangan-kecurangan yang terletak pada management, sehingga management harus mengatur sistem pengendalian intern yang sesuai untuk memenuhi tanggung jawab tersebut. c. Pengawasan oleh dari satu orang (saling cek) merupakan cara yang tepat untuk menutup kekurangan-kekurangan yang bisa terjadi pada manusia. Saling cek ini merupakan salah satu karakteristik sistem pengendalian intern yang baik.

10   

d. Pengawasan yang “built-in” langsung pada sistem berupa pengendalian intern yang baik dianggap lebih tepat daripada pemeriksaan secara langsung dan detail oleh pemeriksa (khususnya yang berasal dari luar organisasi).

2.2.4 Sifat Sistem Pengendalian Internal Menurut

Gondodiyoto

(2007,

p250),

ditinjau

dari

sifatnya

sistem

pengendalian internal dapat dibedakan dalam berbagai segi pandang pengelompokan : 1. Pengendalian internal digolongkan ke dalam preventive, detection dan corrective a. Preventive control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (mencegah atau menjaga) jangan sampai terjadi kesalahan (kesalahan, kekeliruan, error) maupun penyalahgunaan (kecurangan, fraud). b. Detection control, adalah pengendalian yang didesain dengan tujuan apabila data direkam (dientry) atau dikonversi dari media sumber (media input) untuk ditransfer ke sistem komputer yang dapat dideteksi bila terjadi kesalahan. c. Corrective control, adalah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh detective error, atau data yang terdeteksi oleh program validasi,

11   

harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi

kemungkinan

kerugian

kalau

kesalahan

penyalahgunaan tersebut sudah benar terjadi. 2. Pengendalian internal digolongkan kedalam general control dan application control a. General control (pengendalian umum) adalah pengendalian yang berlaku untuk seluruh kegiatan terkomputerisasi pada suatu organisasi. b. Application control (pengendalian aplikasi, pengendalian khusus) adalah pengendalian yang dirancang khusus untuk aplikasi tertentu.

2.2.5 Keterbatasan Sistem Pengendalian Internal Menurut Gondodiyoto (2007, p253), sistem pengendalian internal juga mempunyai keterbatasan-keterbatasan, antara lain sebagai berikut: 1. Persekongkolan (Kolusi) Pengendalian

internal

mengusahakan

agar

persekongkolan

dapat

dihindari sejauh mungkin, misalnya dengan mengharuskan giliran bertugas, larangan dalam menjalankan tugas-tugas yang bertentangan oleh mereka yang mempunyai hubungan kekeluargaan, keharusan mengambil cuti dan seterusnya. Akan tetapi, pengendalian internal tidak dapat menjamin bahwa persekongkolan tidak terjadi. 2. Perubahan

12   

Struktur pengendalian internal pada suatu organisasi harus selalu diperbaharui sesuai dengan perkembangan kondisi dan teknologi. 3. Kelemahan Manusia Banyak kebobolan terjadi pada sistem pengendalian internal yang secara teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya pelaksanaan yang dilakukan oleh personil yang bersangkutan. Oleh karena itu, personil yang paham dan kompeten untuk menjalankannya merupakan salah satu unsur terpenting dalam pengendalian internal. 4. Azas Biaya Manfaat Pengendalian juga harus mempertimbangkan biaya dan kegunaannya. Biaya

untuk

mengendalikan

hal-hal

tertentu

mungkin

melebihi

kegunaannya, atau manfaat tidak sebanding dengan biaya yang dikeluarkan (cost-benefit analysis).

2.3 Sistem Informasi Menurut Gondodiyoto (2007, p112) sistem informasi dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu dan bertujuan untuk mengolah data menjadi informasi. Menurut O’Brien (2006, p5), sistem informasi adalah kombinasi teratur apapun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.

13   

Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa sistem informasi adalah kumpulan orang, hardware, software, jaringan komunikasi dan data yang saling berhubungan yang membentuk suatu komponen untuk mengolah data menjadi informasi yang didalamnya mencakup input-process-output yang berhubungan dengan pengolaan informasi.

2.4 Audit Sistem Informasi 2.4.1 Pengertian Audit Menurut Rai (2008, p29), Audit adalah kegiatan membandingkan suatu kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi). Menurut

Gondodiyoto

(2007,

p447),

Auditing

adalah

proses

pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan apakah suatu sistem yang diperiksa telah mengamankan harta organisasi, memelihara integritas data, mendukung pencapaian tujuan organisasi menjadi lebih efektif dan telah menggunakan sumber daya secara efisien. Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa audit adalah kegiatan membandingkan sesuatu yang dilakukan oleh orang yang berkompeten dan independen untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menerapkan tingkat kesesuaian antara pernyataan-

14   

pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.

2.4.2 Pengertian Audit Sistem Informasi Menurut Karya (2008), Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta atau evidence untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Menurut Gondodiyoto (2007, p60), Audit sistem informasi ialah pemeriksaan terhadap aspek-aspek TI pada sistem informasi akuntansi. Audit dilakukan sesuai dengan ketentuan standar profesional akuntan publik bahwa auditor harus memahami sistem dan internal controls serta melakukan test substantif. Dari definisi diatas dapat ditarik kesimpulan bahwa audit sistem informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya. 2.4.3 Jenis Audit Menurut CISA Review manual (2005, pp36-37), jenis audit terbagi menjadi:

15   

1. Financial Audits – The purpose of a financial audit is to assess the correctness of an organization’s financial statements. A financial audit will often involve detailed, substantive testing. This kind of audit relate to information integrity and reliability. 2. Operational audits – An operational audit is designed to evaluate the internal control structure in a given process or area. IS audits of applications controls or logical security systems are example of operational audits. 3. Integrated audits – An integrated audit combines both financial and operational audit steps. It also performed to assess the overall objectives within an organization, related to financial information and assets safeguarding, efficiency and compliance. An integrated audit can be performed by external or internal auditors and would include both compliance test of internal controls and substantive audit steps. 4. Administrative audits –These are oriented to assess issues related to the efficiency of operational productivity within an organization. 5. Information systems audits – This process collects and evaluates evidence to determine whether the information systems and related resources adequately safeguard assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonable assurance that business, operational and control objective will be met and that undesired events will be prevented or detected and corrected in a timely manner. 6. Specialized audits – within the category of information systems audits, there are a number of specialized reviews that examine areas such as service performed by

16   

third parties and forensic auditing.

Businesses are becoming increasingly

reliant on third party service providers, it is important that internal controls be evaluated in these environments. 7. Forensic audits – Traditionally, forensic auditing has been defined as an audit specialized in discovering, disclosing and following up on frauds and crimes. The primary purpose of such a review was the development of evidence for review by law enforcement and judicial authorities. In recent years, the forensic professional has been called upon to participate in investigations related to corporate fraud and cyber crime.

Jenis audit diatas dapat diterjemahkan sebagai berikut: 1. Audit Keuangan - Tujuan dari audit keuangan adalah untuk menilai kebenaran dari laporan keuangan organisasi. Sebuah audit keuangan seringkali memerlukan perincian, pengujian substantif. Audit semacam ini berhubungan dengan integritas informasi dan kehandalan. 2.

Audit Operasional - Audit operasional dirancang untuk mengevaluasi struktur pengendalian internal dalam sebuah proses atau bidang. IS audit kontrol aplikasi atau sistem keamanan logis adalah contoh dari audit operasional.

3. Audit Terpadu - Audit terintegrasi menggabungkan kedua langkah audit keuangan dan operasional. Hal ini juga dilakukan untuk menilai tujuan secara keseluruhan dalam suatu organisasi, yang berhubungan dengan informasi keuangan dan menjaga aset, efisiensi dan kepatuhan. Sebuah audit terpadu dapat

17   

dilakukan oleh auditor eksternal atau internal dan akan mencakup kedua uji kepatuhan pengendalian internal dan langkah audit yang substantif. 4. Audit Administrasi - Audit ini berorientasi untuk menilai isu-isu terkait dengan efisiensi produktivitas operasional dalam suatu organisasi. 5. Audit Sistem Informasi - Proses ini mengumpulkan dan mengevaluasi buktibukti untuk menentukan apakah sistem informasi dan sumber daya terkait memadai menjaga aset, memelihara integritas data dan sistem, memberikan informasi yang relevan dan dapat diandalkan, mencapai tujuan organisasi secara efektif, mengkonsumsi sumber daya secara efisien, dan memiliki efek internal pada kontrol yang memberikan jaminan yang wajar bahwa bisnis, operasional dan tujuan kontrol akan dipenuhi dan bahwa peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi pada waktu yang tepat. 6. Audit Khusus - dalam kategori audit sistem informasi, ada sejumlah tinjauan khusus yang meneliti bidang-bidang seperti pelayanan yang dilakukan oleh pihak ketiga dan audit forensik. Bisnis menjadi semakin bergantung pada penyedia layanan pihak ketiga, adalah penting bahwa kontrol internal dievaluasi dalam lingkungan ini. 7. Audit Forensik - Secara tradisional, audit forensik telah didefinisikan sebagai audit khusus dalam menemukan, mengungkapkan dan menindaklanjuti penipuan dan kejahatan. Tujuan utama dari tinjauan tersebut adalah pengembangan bukti untuk diperiksa oleh penegak hukum dan kekuasaan kehakiman. Dalam beberapa tahun terakhir, profesional forensik telah dipanggil untuk berpartisipasi dalam penyelidikan terkait dengan penipuan perusahaan dan kejahatan cyber.

18   

2.4.4 Tujuan Audit Berdasarkan pendapat Gondodiyoto (2007, p474), tujuan dari audit sistem informasi adalah sebagai berikut : 1. Pengamanan aset Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya, manusia, file data dan fasilitas lain harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. 2. Efektivitas sistem Efektivitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan pengguna. Informasi yang dibutuhkan oleh para manajer dipenuhi dengan baik. 3. Efisiensi sistem Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan pengguna dengan sumber daya informasi yang minimal. Cara sistem kerja benar (doing thing right).

19   

4. Ketersediaan (Availability) Berhubungan dengan ketersediaan dukungan atau layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara continue terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi gangguan (system down), maka berarti tingkat ketersediaan sistem rendah. 5. Kerahasiaan (Confidentiality) Fokusnya adalah pada proteksi terhadap informasi dan supaya terlindungi dari akses pihak-pihak yang tidak berwenang. 6. Kehandalan (Reliability) Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi, pelaporan dan pertanggungjawaban. 7. Menjaga Integritas data Integritas data (data integrity) adalah salah satu konsep dasar dari sistem informasi. Data memiliki atribut-atribut seperti : kelengkapan, kebenaran dan keakuratan.

2.4.5 Pendekatan Audit Sistem Informasi Menurut Gondodiyoto (2007, pp451-453) metode audit sistem informasi meliputi :

1. Auditing around the computer Dalam pedekatan audit di sekitar komputer, auditor (dalam hal ini harus akuntan yang registered, dan bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan opini dengan hanya menelaah

20   

struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem akuntansi manual. Auditor tidak perlu menguji pengendalian sistem informasi berbasis teknologi informasi klien (file program atau pengendalian atas file atau data di komputer) melainkan cukup terhadap input serta output sistem aplikasi saja. Sistem komputerisasi dianggap sebagai blackbox (sesuatu yang diketahui fungsinya, tapi tidak perlu diperiksa bagaimana kinerjanya).

2. Auditing through the computer Dalam pendekatan audit ke sistem komputer, auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit SI berbasis TI. Auditor menggunakan komputer atau dengan pengecekan logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian yang ada pada komputer. Selain itu auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spesifikasi sistem dan atau program yang diaudit.

3. Auditing with the computer Pada pendekatan ini, audit dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini dapat menggunakan beberapa computer assisted audit

21   

techniques, misalnya system control audit review file (SCARF), snapshot dan sebagainya. Pendekatan audit dengan bantuan komputer merupakan cara yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan.

2.5 Service 2.5.1 Pengertian Service Menurut

Lupiyoadi

(2001,

p5)

pengertian

jasa

adalah:

“A service is an activity or series of activities of more or less intangible nature that normally, hut not necessarile, take place in interactions between the customer and service employees and/or physical resources or good ard/or system of the service provider, which are provided as solutions to customer problems”. Artinya : Sebuah layanan adalah kegiatan atau serangkaian kegiatan yang biasanya tidak berwujud, tetapi tidak selalu berinteraksi langsung antara pelanggan dan karyawan jasa baik sumber daya fisik maupun sistem penyedia layanan, yang diberikan sebagai solusi untuk masalah pelanggan.

(http://jurnal-sdm.blogspot.com/2009/04/produk-jasa-pengertian-

karakteristik.html) Menurut Lovelock dan Wirtz (2007, p15), Service are economic activities offered by on party to another, most commonly employing time-based performance to bring about desired results in recipients themselves or in objects or other assets for which purchasers have responsibility. Artinya : Service adalah kegiatan ekonomi yang ditawarkan oleh suatu pihak kepada

22   

pihak lain, sering menggunakan kinerja yang berbasis waktu untuk membawa hasil yang diinginkan oleh penerima atau benda atau aset lainnya yang memiliki tanggung jawab dari pembeli. Dari definisi diatas dapat ditarik kesimpulan bahwa service adalah setiap tindakan atau kegiatan yang dapat ditawarkan oleh satu pihak kepada pihak lain, yang pada dasarnya tidak berwujud dan tidak mengakibatkan kepemilikan apapun.

2.5.2 Karakteristik Service Menurut Kotler dan Amstrong (2006, pp45-48) secara umum service mempunyai 4 karakteristik pokok yang membedakannya dengan barang yaitu : 1. Tidak berwujud (intangible) Jasa tidak bisa dilihat, dicicipi, dirasakan, didengar, dan dibaui sebelum dibeli. Misalnya : orang yang menjalani operasi wajah tidak dapat melihat hasilnya yang sesungguhnya sebelum ia membeli jasa tersebut. 2. Tidak dapat dipisahkan (inseparibility) Biasanya jasa dihasilkan dan dikonsumsi secara bersamaan. Hal ini tidak berlaku bagi barang-barang fisik yang diproduksi, disimpan sebagai persediaan, didistribusikan melalui banyak penjual, dan dikonsumsi kemudian. Jika seseorang memberikan jasa tersebut, penyedianya adalah bagian dari jasa itu. 3. Bervariasi (variability)

23   

Karena bergantung pada siapa memberikannya serta kapan dan dimana diberikan, jasa sangat bervariasi. Contohnya, beberapa dokter memiliki keramahan sangat baik dengan pasiennya, yang lain kurang sabar dengan pasien-pasiennya. 4. Tidak tahan lama atau mudah lenyap (perishability) Jasa tidak dapat disimpan. Sifat jasa yang mudah rusak (perishability) tersebut tidak akan menjadi masalah apabila permintaan tetap berjalan lancar. Misalnya : perusahaan-perusahaan angkutan umum harus memiliki jauh lebih banyak perlengkapan karena permintaan jam-jam sibuk, dibandingkan dengan andai kata permintaan merata sepanjang hari.

2.6 Metodologi Pengumpulan Data 2.6.1 Wawancara Menurut Nazir (2005, p193-194), wawancara adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan si penjawab atau responden dengan menggunakan alat yang dinamakan interview guide (panduan wawancara). Menurut Gondodiyoto (2007, p598), wawancara merupakan teknik pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee untuk memperoleh bahan bukti audit.

24   

Jadi dapat disimpulkan bahwa pengertian wawancara adalah percakapan antara dua orang atau lebih yang berlangsung antara narasumber dan pewawancara yang bertujuan untuk mendapatkan informasi.

2.6.2 Obervasi Menurut Nazir (2005, p175), Pengumpulan data dengan observasi langsung atau dengan pengamatan langsung adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Menurut Gondodiyoto (2007, p596), observasi atau pengamatan adalah cara memeriksa dengan menggunakan panca indera terutama mata, yang dilakukan secara continue selama kurun waktu tertentu untuk memberikan sesuatu keadaan atau masalah. Jadi dapat disimpulkan bahwa observasi adalah proses pengamatan langsung secara sistematik yang bertujuan untuk mendapatkan data tanpa menggunakan alat.

2.7 CoBIT 2.7.1 Pengertian COBIT Menurut Gondodiyoto (2007, pp276), CoBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user) dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. CoBIT

25   

bermanfaat bagi auditor karena merupakan teknik yang membantu dalam mengidentifikasi Information Technology Control Issue. CoBIT berguna bagi para information technology users karena memperoleh keyakinan atas sistem aplikasi yang digunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi informasi serta infrastrukturnya, menyusun rencana teknologi informasi, menentukan arsitektur informasi dan keputusan atas procurement (pengadaan atau pembelian) mesin.

2.7.2 Kerangka Kerja CoBIT Menurut Gondodiyoto (2007, p279) Kerangka Kerja CoBIT terdiri atas beberapa arahan (Guidelines), yakni : 1) Control Objectives Control Objectives terdiri dari empat unsur utama, yaitu : a) Perencanaan dan organisasi (Planning and Organization) Yaitu mencakup pembahasan mengenai identifikasi dan strategi investasi teknologi informasi yang dapat memberikan yang terbaik untuk

mendukung

pencapaian

tujuan

bisnis.

Selanjutnya

identifikasi dan visi strategis perlu direncanakan, dikomunikasikan dan diatur pelaksanaannya (dari berbagai perspektif). b) Pengakuisisi dan Implementasi (Acquisition and Implementasion) Yaitu untuk merealisisasi strategi teknologi informasi, perlu diatur kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan.

26   

c) Penyerahan dan Pendukung (Delivery and Support) Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi kegiatan terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi actual atau service level) dan aspek urutan (prioritas implementasi dan dukungannya). d) Memantau dan Mengevaluasi (Monitoring and Evaluate) Semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan teknologi informasi tercapai, dan kelengkapannya berdasarkan pada syarat pengendalian internal yang baik. 2) Audit Guidelines Berisi sebanyak tiga ratus delapan belas tujuan pengendalian rinci (detail control objective) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan. 3) Management Guidelines Berisi arahan baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan.

2.7.3 Kriteria kerja CobIT Menurut Gondodiyoto (2007,p277), kriteria kerja CobIT meliputi: Tabel 2.1 Kriteria Kerja CobIT

27   

Efektivitas

Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.

Efisiensi

Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.

Kerahasiaan

Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.

Integritas

Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan Berhubungan

dengan

informasi

yang

tersedia

ketika

diperlukan dalam proses bisnis sekarang dan yang akan datang. Kepatuhan

Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.

Keakuratan

Berhubungan dengan ketentuan kecocokan informasi untuk

Informasi

manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan tanggung jawaban.

2.7.4 Domain CobIT

28   

Tabel 2.2 Domain & High Controls CobIT CobIT Domain 1.

Plan and Organize

High Level Objectives 1. Define a strategic IT Plan and direction 2. Define the information architecture 3. Determine technological direction 4. Define IT processes, organization and relationship 5. Manage the IT investment 6. Communicate management aim and direction 7. Manage IT human resources 8. Manage Quality 9. Assess and manage IT risks 10. Manage projects

2.

Acquire and Implement

1. Identify automated solutions 2. Acquire and maintain application software 3. Acquire and maintain technology infrastructure 4. Enable operation and use 5. Procure IT resources

29   

6. Manage Changes 7. Instal and accredit solutions and changes 3.

Deliver and support

1. Define and manage service levels 2. Manage third-party services 3. Manage performance and capacity 4. Ensure continuous service 5. Ensure systems security 6. Identify and allocate costs 7. Educate and train users 8. Manage service desk and incidents 9. Manage the configuration 10. Manage problems 11. Manage data 12. Manage the physical environment 13. Manage operations

4.

Monitor and Evaluate

1. Monitor and evaluate IT processes 2. Monitor and evaluate internal control

30   

3. Ensure regulatory compliance 4. Provide IT Governance Sumber : Gondodiyoto (2007, p282)

31   

Gambar 2.1 CobIT Processes Defined Within The Four Domains Sumber : ITGI – CobIT 4.1th edition (2007,p26)

32   

CobIT diharapkan dapat membantu menemukan berbagai macam kebutuhan manajemen berkaitan dengan teknologi informasi, membantu mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran (kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat diterapkan dan diterima sebagai standar keamanan teknologi informasi dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan memantau tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka.