BAB 2 LANDASAN TEORI

BAB 2 LANDASAN TEORI

2.1

Teori-teori umum Teori - teori umum yang menjadi dasar penulisan skripsi ini sebagai berikut : 2.1.1

Sistem Informasi O’Brien (2005, p7), mendefinisikan “Information system can be only

organized combination of people, hardware, software, communication networks, and data recources that collects, transforms, disseminates information in an organization”. Maksudnya, sistem informasi merupakan penataan kombinasi antara manusia, peranti keras, peranti lunak, jaringan komunikasi dan sumber daya data yang dimana informasi dikumpulkan, ditransformasikan dan disebarkan dalam sebuah organisasi. Stair (2006, p15), mendefinisikan sebagai sebuah set komponen atau unsur - unsur yang saling berhubungan satu sama lainnya yang mengumpulkan (masukan), memanipulasi (proses) dan menyimpan, dan menghasilkan (keluaran) data dan informasi dan menyediakan suatu mekanisme yang akan membantu perusahaan untuk mencapai memenuhi suatu sasaran.  

10

11 2.1.2

Tujuan Audit Sistem Informasi Menurut Romney dan Steinbart (2006, p316), “ The purpose of an

information system audit is to review and evaluate the internal control that protect the system”. Tujuan dari audit sistem informasi adalah untuk mengkaji ulang dan mengevaluasi pengendalian - pengendalian intern yang diterapkan untuk melindungi sistem yang ada. Menurut Weber (1999) yang dikutip oleh Gondodiyoto (2007, pp474475), tujuan audit teknologi informasi (audit objectives) lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai : (a) apakah system komputerisasi suatu organisasi atau perusahaan dapat mendukung pengamanan aset (assets safeguarding), (b) apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan (systems effectiveness), (c) apakah sistem komputerisasi tersebut sudah memanfaatkan sumber daya secara efisien (efficiency), dan (d) apakah terjamin konsistensi dan keakuratan datanya (data integrity). 1.

Meningkatkan keamanan aset - aset perusahaan Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, data (file) harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset perusahaan merupakan suatu hal yang sangat penting dan harus dipenuhi oleh perusahaan.

2.

Meningkatkan integritas data  

 

12 Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut - atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian. 3.

Meningkatkan efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user (pengguna).

4.

Meningkatkan efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya manusia, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya manusia yang minimal. Ekonomis mencerminkan kalkulasi untuk rugi ekonomi

(cost / benefit)

yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

   

13 2.1.3

Tahapan-tahapan Audit Sistem Informasi

Tahapan Audit Subjek Audit Sasaran Audit Jangkauan Audit Rencana Pre-audit

Prosedur audit dan langkah - langkah Pengumpulan bukti audit

Prosedur untuk evaluasi

Pelaporan hasil audit

Tentukan/identifikasi unit/lokasi yang diaudit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan 1. Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit. 2. Identi fikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standar prosedur dan kertas kerja audit sebelumnya. 1. Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern. 2. Identifikasi daftar individu untuk interview. 3. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview. 4. Mengembangkan instrument audit dan metodologi penelitian dan pemeriksaan kontrol internal 1. Organisasikan sesuai kondisi dan situasi. 2. Identifikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit Siapkan laporan yang objektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee

Tabel 2.1 Tahapan Audit (Sumber: Gondodiyoto (2007, p487) yang mengutip dari CISA Review Manual (2003, p35))

2.1.4

Jenis Audit Menurut Gondodiyoto (2007, pp443-446), sesungguhnya audit SI

berbasis teknologi informasi dapat digolongkan dalam tipe atau jenis - jenis pemeriksaan : 1.

Audit laporan keuangan (general audit on financial statements)  

 

14 Dalam hal ini audit terhadap aspek – aspek teknologi informasi pada suatu sistem informasi akuntansi berbasis teknologi adalah dilaksanakan dalam rangka audit keuangan (general financial audit) yang sistem akuntansinya berbasis komputer (sering disebut audit teknologi informasi). Tujuannya adalah sama dengan audit tradisional, yaitu memeriksa kesesuaian financial statements dengan standar akuntansi keuangan dan ada atau tidak adanya salah satu material pada laporan keuangan. 2.

Audit sistem informasi (SI) sebagai kegiatan tersendiri, terpisah dari audit keuangan. Sebetulnya audit SI pada hakikatnya merupakan salah satu dari bentuk audit operasional, tetapi kini audit SI sudah dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih untuk meningkatkan IT governance.

2.1.5

Instrumen Audit yang Dipakai Menurut Karya (2004, p55), instrumen audit terdiri dari :

1.

Wawancara, terutama untuk mendapatkan informasi gambaran umum sistem informasi dan pointer ke fakta - fakta yang akan dikumpulkan lebih lanjut.

2.

Inspeksi, terutama untuk memeriksa bukti – bukti dokumen dan aktifitas untuk meyakinkan bahwa suatu kriteria telah dipenuhi.

3.

Quesioner, terutama untuk mengumpulkan informasi dari beberapa sumber sekaligus beberapa pendapat / penilaian dari masing – masing sumber yang hasilnya akan diolah secara statistik.  

 

15 4.

Tes program, terutama digunakan untuk malakukan pemeriksaan terhadap perangkat lunak aplikasi.

5.

Tes data, untuk meyakinkan akan integritas data, kebenaran data dan konsistensi antara dokumen masukan dengan data yang akan diproses.

Menurut Chris, Mike, and Kevin (2007, pp110-112), Master Checklist is ”the following table summarize the steps listed herein for auditing data centers and disaster recovery”. Checklist adalah tabel yang merangkumkan langkah langkah yang akan dicatat untuk mengaudit data dan pemulihan bencana.

2.1.6

Teori Rich Picture Menurut Mathiassen (2000,p26), Rich picture is ”informal drawing that

presents the illustrator’s understanding of a situation”. Rich Picture adalah suatu gambaran tidak resmi yang menyajikan suatu pemahaman mengenai situasi tertentu yang berdasarkan dari orang yang membuat ilustrasi tersebut.

2.1.7

Teori Event Table Menurut Rama dan Jones (2008, p4), event adalah suatu aktifitas-aktifitas

yang terjadi pada suatu waktu tertentu dalam kegiatan bisnis perusahaan.

2.1.8

Teori Overview Activity Diagram Menurut Rama dan Jones (2008, p111), Overview Activity Diagram

adalah diagram yang menyajikan suatu pandangan tingkat tinggi dari proses    

16 bisnis dengan mendokumetasikan kejadian - kejadian penting, urutan kejadian kejaidian ini, dan aliran informasi antar kejadian. Simbol-simbol diagram Activity : 1.

Initial state Memulai suatu proses dalam suatu diagram aktivitas

2.

State Kejadian, aktivitas atau pemicu

3.

Control Flow Urutan dari suatu kejadian atau aktivitas yang keberikutnya

4.

Object Flow Alur informasi antar kejadian

5.

Constraint Menunjukkan dokumen sumber atau laporan

6.

Decision Sebuah peralihan cabang apabila terjadi dua kondisi

7.

Tabel Suatu file komputer darimana data bisa dibaca atau direkam selama kejadian bisnis

8.

Final State Akhir dari suatu proses

2.1.9

Teori Workflow Table

   

17 Menurut Rama dan Jones (2008, p87), workflow table adalah suatu tabel yang memiliki dua kolom yang berfungsi untuk mengidentifikasi agen yang terlibat dan kegiatan yang dilakukan dalam suatu kejadian.

2.1.10 Teori Detailed Activity Diagram (DAD) Menurut Rama dan Jones (2008, p61), detailed activities diagram memberikan suatu gambaran proses bisnis secara detail yang menjelaskan setiap event yang terjadi pada overview diagram.

2.2

Teori - teori khusus 2.2.1 Pengendalian Sistem Informasi Menurut O’Brien (2005, p410), IS Control are methods and devices that attempt to ensure the accuracy, validity, and propriety of information system activities. Yang berarti metode dan perlengkapan yang digunakan utnuk memastikan keakuratan, keaslian dan properti pada aktivitas sistem informasi.

2.2.2 Pengertian Pengendalian Internal Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh Tunggal (2007, p1), Pengendalian Internal adalah tindakan yang diambil oleh manajemen, dewan pengawas, atau pihak lain, termasuk komite audit, untuk mengelola resiko dan meningkatkan kemungkinan pencapaian tujuan organisasi. Manajemen melakukan tindakan - tindakan seperti perencanaan, pemantauan dan

   

18 sebagainya untuk memberikan jaminan yang wajar atas pencapaian tujuan tersebut. Menurut Rama dan Jones (2008, p8), pengendalian internal (internal control) mencakup kebijakan - kebijakan, prosedur - prosedur, dan sistem informasi yang digunakan untuk melindungi aset - aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan. Jadi dapat disimpulkan bahwa pengendalian internal adalah pengendalian dalam suatu organisasi bertujuan untuk menjaga aset perusahaan, pemenuhan terhadap kebijakan dan prosedur, kehandalan dalam proses, dan operasi yang efisien. Menurut Gondodiyoto (2007, p260), tujuan disusunnya sistem kontrol atau pengendalian internal komputerisasi adalah untuk : 1.

Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akuntansi (accounting records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya).

2.

Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar.

3.

Meningkatkan efektivitas sistem (improve system effectiveness).

4.

Meningkatkan efisiensi sistem (improve system efficiency).

2.2.3 Komponen Pengendalian Internal

   

19 Menurut

Rama

dan

Jones

(2008,

p133),

laporan

COSO

mengidentifikasikan lima komponen pengendalian internal yang saling berkaitan: 1.

Lingkungan pengendalian

2.

Penentuan risiko

3.

Aktivitas pengendalian

4.

Informasi dan komunikasi

5.

Pengawasan Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh

Tunggal (2007, p2), Pengendalian terdiri atas lima komponen yang saling terkait berikut ini : 1. Lingkungan pengendalian menetapkan corak suatu organisasi mempengaruhi kesadaran pengendalian orang - orangnya. Lingkungan pengendalian merupakan

dasar

untuk

semua

komponen

pengendalian

internal,

menyediakan disiplin dan struktur. 2. Penaksiran resiko adalah identifikasi entitas, dan analisis terhadap resiko yang relevan untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana resiko harus dikelola. 3. Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen dilaksanakan.

   

20 4. Informasi dan komunikasi adalah pengidentifikasian, pengungkapan, dan pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. 5. Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian internal sepanjang waktu.

2.2.4

Aktivitas Pengendalian Menurut Rama dan Jones (2008, p155), aktivitas pengendalian adalah

kebijakan dan prosedur yang dikembangkan oleh organisasi untuk menghadapi resiko dalam rangka mencapai tujuan organisasi. Terdapat empat jenis pengendalian: 1.

Pengendalian arus kerja (Workflow controls) Pengendalian yang membantu mengatur suatu proses berpindah dari suatu kejadian ke kejadian berikutnya.

2.

Pengendalian input (Input control) Digunakan untuk mengendalikan input data ke dalam sistem.

3.

Pengendalian umum (General control) Pengendalian yang membatasi akses ke komputer, peranti lunak, dan data perusahaan, mencakup pembuatan cadangan dan pemulihan data, atau mempengaruhi pengembangan dan pemeliharaan peranti lunak.  

 

21 4.

Penelaahan kinerja (Performance review) Aktivitas yang mencakup penelaahan kinerja, yang meliputi perbandingan hasil aktual dengan anggaran, proyeksi, standar, dan data masa lalu.

2.2.5

Pengertian Sistem Penjualan Menurut Mulyadi (2001, p204), penjualan secara umum dapat diartikan

sebagai penyerahan hak milik barang dan atau jasa dari penjual kepada pembeli dimana pembeli akan menyerahkan uang seharga barang dan atau jasa tersebut baik secara tunai maupun secara kredit. Penjualan secara umum ada 2 yaitu: 1.

Penjualan Tunai Secara umum penjualan tunai adalah penyerahan barang dan atau jasa kepada pembeli dimana pembayaran dari pembeli langsung diterima saat itu juga.

2. Penjualan Kredit Merupakan penyerahan barang dan atau jasa kepada pembeli dimana pembeli menangguhkan pembayaran untuk jangka waktu tertentu sesuai dengan perjanjian yang disepakati bersama.

2.2.6 Jaringan Prosedur Sistem Penjualan Menurut Mulyadi (2001, p219), jaringan prosedur yang membentuk sistem penjualan adalah: 1.

Prosedur order penjualan  

 

22 Dalam prosedur ini, fungsi penjualan menerima order dari pelanggan dan menambahkan informasi penting pada surat order dari pelanggan. Fungsi penjualan kemudian membuat surat order pengiriman dan mengirimkannya kepada berbagai fungsi lain yang memungkinkan fungsi tersebut memberikan kontribusi dalam melayani order dari pelanggan. 2.

Prosedur persetujuan kredit Dalam prosedur ini, fungsi penjualan meminta persetujuan kredit kepada pembeli tertentu dari fungsi kredit.

3.

Prosedur pengiriman Dalam prosedur ini, fungsi pengiriman mengirimkan barang kepada pelanggan sesuai dengan informasi yang tercantum dalam surat order pengiriman yang diterima dari fungsi pengiriman.

4.

Prosedur penagihan Dalam prosedur ini, fungsi penagihan membuat faktur penjualan dan mengirimkannya kepada pelanggan.

5.

Prosedur pencatatan piutang Dalam prosedur ini, fungsi akuntansi mencatat tembusan faktur penjualan ke dalam kartu piutang atau dalam metode pencatatan tertentu mengarsipkan dokumen tembusan menurut abjad yang berfungsi sebagai catatan piutang.

6.

Prosedur distribusi penjualan

   

23 Dalam prosedur ini, fungsi akuntansi mendistribusikan data penjualan menurut informasi yang diperlukan oleh manajemen. 7.

Prosedur pencatatan harga pokok penjualan Dalam prosedur ini, fungsi akuntansi secara periodik total harga pokok produk yang dijual dalam periode akuntansi tertentu. Informasi yang umumnya diperlukan oleh manajemen dari kegiatan

penjualan kredit adalah : 1.

Jumlah pendapatan penjualan menurut jenis produk selama jangka waktu tertentu.

2.

Jumlah piutang kepada setiap debitur dari transaksi penjualan kredit.

3.

Jumlah harga pokok produk yang dijual selama jangka waktu tertentu.

4.

Nama dan alamat pembeli.

5.

Kuantitas produk yang dijual.

6.

Nama wiraniaga yang melakukan penjualan.

7.

Otorisasi yang berwenang.

2.2.7 Pengertian Sistem Informasi Penjualan Menurut Romney (2006, p359), siklus pendapatan adalah seperangkat atau kumpulan aktivitas bisnis dan operasi proses informsi terkait yang diasosiasikan dengan penyediaan barang dan jasa kepada pelanggan dan pengumpulan kas dalam pembayaran terhadap transaksi penjualan. Tujuan utama

   

24 siklus pendapatan adalah untuk menyediakan produk yang tepat pada tempat yang tepat, di waktu yang tepat dengan harga yang tepat. Menurut Romney (2006, pp360-378), terdapat empat dasar aktivitas bisnis yang dilakukan dalam siklus pendapatan, yaitu: 1.

Entry order penjualan

2.

Pengiriman

3.

Penagihan dan piutang dagang

4.

Penerimaan kas Jadi dapat disimpulkan bahwa sistem informasi penjualan adalah

kumpulan komponen - komponen yang membentuk suatu aktivitas dan proses bisnis yang diasosiasikan untuk penyediaan barang dan jasa kepada pelanggan oleh suatu organisasi.

2.2.8 Pengertian Resiko Menurut Robert Tampubolon (2005, p3), resiko adalah sebuah rentang yang dapat bergerak ke arah ancaman dengan dampak negatif, yaitu tidak tercapainya tujuan dan kesempatan dengan dampak positif, yaitu tercapainya tujuan yang ditetapkan. Jadi, dapat disimpulkan resiko adalah potensi kehilangan atas terjadinya tindakan yang dapat menimbulkan ancaman bagi organisasi.

2.2.9

Jenis-jenis Resiko  

 

25 Menurut Gondodiyoto (2007, pp112-116), dari berbagai sudut pandang, resiko dapat dibedakan dalam beberapa jenis : 1. Resiko Bisnis (Business Risk) Resiko bisnis adalah resiko yang dapat disebabkan oleh faktor – faktor internal (permasalahan kepegawaian, resiko – resiko yang berkaitan dengan peralatan atau mesin, resiko keputusan yang tidak tepat dan kecurangan manajemen) maupun eksternal (perubahan kondisi perekonomian, tingkat kurs yang berubah mendadak, dan munculnya pesaing yang baru yang mempunyai potensi bersaing tinggi) yang berakibat kemungkinan tidak tercapainya tujuan organisasi. 2. Resiko Bawaan (Inherent Risks) Resiko bawaan adalah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian internal. 3.

Resiko Pengendalian (Control Risks) Resiko pengendalian adalah masih adanya risiko meskipun sudah ada pengendalian.

4. Resiko Deteksi (Detection Risks) Resiko deteksi adalah resiko yang terjadi karena prosedur audit yang dilakukan tidak dapat mendeteksi adanya error yang cukup materialitas atau adanya kemungkinan fraud.    

26 5. Resiko Audit (Audit Risks) Resiko audit sebenarnya adalah kombinasi dari inherent risks, control risks, dan detection risks. Resiko audit adalah resiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya. 6. Resiko Keamanan IT (IT Security Risks) Resiko keamanan IT berkaitan dengan data integrity dan akses. Data integrity adalah kehandalan dan konsistensi data dalam sistem manajemen data organisasi. Akses ke komputer atau data oleh pihak tidak berwenang perlu ditanggulangi. Karena terkait dengan data integrity, privacy dan seluruh keamanan sistem. 7.

Resiko Keseluruhan (Continuity Risks) Resiko

keseluruhan

berkaitan

dengan

ketersediaan

atau

stabilitas

(availability), back-up site, back-up file serta recovery pada sistem yang berbasis teknologi informasi. Back-up site adalah cadangan sistem, sedangkan back-up file adalah cadangan file dengan media off-line. Recovery adalah sistem pengembalian status terakhir bila suatu proses mengalami gangguan atau terhenti secara tidak normal.

2.2.10 Teknik Penilaian Resiko Menurut Peltier (2001, p1), resiko didefinisikan sebagai seseorang atau sesuatu yang menyebabkan ancaman.    

27 Sedangkan menurut Peltier (2001, p79), resiko dibagi menjadi 3 tingkatan yaitu : 1. High Vulnerability Kelemahan yang sangat besar yang berada di dalam sistem atau rutinitas operasi dan dimana dampak potensial pada bisnis adalah penting, untuk itu harus ada pengendalian yang ditingkatkan. 2. Medium Vulnerability Beberapa kelemahan yang ada pada sistem dan dimana dampak potensial pada bisnis adalah penting. Untuk itu, akan ada pengendalian yang perlu ditingkatkan. 3. Low Vulnerability Sistem telah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada penambahan pengendalian yang diperlukan untuk mengurangi kelemahan (vulnerability). Dari ketiga tingkatan resiko tersebut dibagi lagi menjadi 3 dampak resiko, yaitu : 1.

Low Resiko yang dinilai jarang terjadi dan tidak dapat mempengaruhi operasi perusahaan ataupun sistem internal kontrol dalam suatu organisasi.

2.

Medium Resiko yang dinilai jarang atau sering terjadi tetapi dapat memberikan dampak yang tidak terlalu mempengaruhi operasi perusahaan atau sistem internal kontrol dalam suatu organisasi.  

 

28 3. High Resiko yang dinilai sering terjadi dan secara langsung dapat mempengaruhi kegiatan organisasi perusahaan dan mengancam sistem internal kontrol organisasi.

2.2.11 Pengertian Tata Kelola IT Menurut Yanti (2008, p119), IT Governance is ”a structure of relationship and process used to direct and control the enterprise toward achievement of the enterprise’s goals by adding value while balancing risk versus return over IT and its process”. Yang berarti tata kelola TI adalah sebuah hubungan dan proses yang digunakan secara langsung dan mengendalikan keusahawan ke arah tercapainya tujuan dengan menambahkan nilai dengan keseimbangan TI dan prosesnya. Berbasis dari ISACA pada tinjauan CISA, IT Governance is ”an inclusive term that encompasses information system, technology, and communication : Business, legal and other issues; and all concerned stakeholder, directors, senior management, process owners, IT Suppliers, users and auditors”. Yang berarti sebuah syarat yang meliputi sistem informasi, teknologi dan komunikasi : bisnis, legal dan lainnya; dan juga memiliki perhatian terhadap pemegang kepentingan, direktur, manajemen senior, pemilik proses, suplier TI, pengguna dan auditor.

2.2.12 CobIT    

29 Menurut IT Governance Institute (2007, p8) dikatakan “CobIT is a framework and supporting tool set that allow managers to bridge the gap with respect to control requirements, technical issues, and business risks, and communicate that level of stakeholders”, yang berarti CobIT merupakan sebuah kerangka kerja (framework) dan sebagai alat pembantu para manajer untuk menjembatani gap dengan tanggung jawab dalam mengontrol kebutuhan, permasalahan teknis dan resiko - resiko bisnis, serta menyampaikan tingkatan tingkatan dari pengendalian kepada para pemegang saham. Sedangkan IT Governance itu sendiri, menurut Weill (2004, p2) adalah spesiikasi dalam pengambilan keputusan dan pertanggungjawaban kerangka kerja untuk mendorong kebiasaan yang diinginkan dalam penggunaan TI. Dengan demikian IT Governance merupakan proses yang berhubungan pengambilan keputusan di bidang pengembangan dan pembangunan teknologi informasi agar dapat menghasilkan manfaat strategis perusahaan. Menurut IT Governance Institute (2007, p12), CobIT 4.1 yang merupakan bagian dari Information Systems Audit Control and Control Association (ISACA), memberikan arahan (guidelines) yang berorientasi pada proses bisnis perusahaan. Arahan tersebut berupa kerangka kerja yang memiliki konsep dasar dengan menentukan terlebih dahulu informasi - informasinya kemudian diarahkan dan dikontrol dengan sebuah kebijakan informasi yang ada, terkait dengan proses sistem informasi. Salah satu arahan yang ada didesain atas 4

   

30 domain yang mengarah ke - 34 high level control objectives (tujuan pengendalian tingkat tinggi), 4 domain itu antara lain : 1.

Plan and Organize (PO) Domain ini meliputi pembahasan strategi investasi TI yang dapat memberikan kontribusi terbaik dalam penerapan tujuan bisnis. Untuk pencapaiannya, perlu adanya perencanaan, komunikasi dan pengaturan untuk mencapai sasaran bisnis. Plan and Organize terdiri dari : a.

PO1 : Define a Strategic IT Plan (mendefinisikan strategi perencanaan TI).

b.

PO2 : Define the Information Architecture (mendefinisikan arsitektur informasi).

c.

PO3 :

Determine

Technological

Direction

(menetapkan

arah

teknologi). d.

PO4 : Define the IT process, Organization and Relationships (mendefinisikan proses, organisasi, dan hubungan TI).

e.

PO5 : Manage the IT investment (mengatur investasi TI).

f.

PO6 :

Communicate

Management

Aims

(mengkomunikasikan sasaran dan arah manajemen).

   

and

Direction

31 g.

PO7 : Manage IT Human Recources (mengelola sumber daya manusia TI).

2.

h.

PO8 : Manage Quality (mengelola kualitas).

i.

PO9 : Assess and Manage IT Risk (menilai dan mengelola resiko IT)

j.

PO10 : Manage Project (mengelola proyek).

Acquire and Implement (AI) Domain ini meliputi pembahasan tentang bagaimana merealisasikan strategi TI tersebut, solusi perlu untuk diidentifikasi, dikembangkan atau diperoleh, seperti halnya diimplementasikan dan terintegrasi ke dalam proses bisnis. Sebagai tambahan, perubahan dan pemeliharaan dari sistem yang berjalan dapat diatasi oleh domain ini untuk memastikan solusi mendapatkan titik temu sasaran bisnis. Acquire and Implement terdiri dari : a.

AI1 : Identify Automated Solutions (mengidentifikasi solusi secara otomatis).

b.

AI2 : Acquire and Maintain Application Software(memperoleh dan merawat aplikasi piranti lunak).

c.

AI3 : Acquire and Maintain Technology Infrastructure (memperoleh dan merawat teknologi infrastruktur).

d.

AI4 : Enable operation and Use (memperbolehkan operasi dan penggunaan).  

 

32 e.

AI5 : Procure IT Resources (memperoleh sumber daya TI).

f.

AI6 : Manage Changes (mengelola perubahan).

g.

AI7 : Install and Accredit Solutions and Changes (mengukuhkan dan mengakui solusi dan perubahan).

3.

Deliver and Support (DS) Domain ini lebih berpusat pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis. Deliver and Support terdiri dari : a.

DS1 : Define and Manage Service Levels (mendefinisikan dan mengelola tingkat layanan).

b.

DS2 : Manage Third-party Services (mengelola layanan pihak ketiga).

c.

DS3 : Manage performance and Capacity (mengelola pelaksanaan dan kapasitas).

d.

DS4 : Ensure Continuous Service (memastikan layanan berkelanjutan).

e.

DS5 : Ensure Systems Security (memastikan keamanan sistem).

f.

DS6 : Identify and Allocate Costs (mengidentifikasi dan mengalokasi biaya).

g.

DS7 : Educate and Train Users (mendidik dan melatih pengguna).

h.

DS8 : Manage Service Desk and Incidents (mengelola pelayanan dan peristiwa).

i.

DS9 : Manage the Configuration (mengelola konfigurasi).

j.

DS10 : Manage Problems (mengelola masalah - masalah).  

 

33 k.

DS11 : Manage Data (mengelola data).

l.

DS12 : Manage the Physical Environment (mengelola lingkungan secara fisik).

m. DS13 : Manage Operations (mengelola operasi - operasi). 4.

Monitor and Evaluate (ME) Semua proses TI perlu untuk ditaksir secara berkala untuk mengetahui mutu dan tujuan dukungan TI tercapai dengan kebutuhan pengendalian. Monitor and Evaluate terdiri dari : a.

ME1 : Monitor and Evaluate IT Performance (memonitor dan mengevaluasi kemampuan TI).

b.

ME2 : Monitor and Evaluate Internal Control (memonitor dan mengevaluasi pengendalian intern).

c.

ME3 : Ensure Compliance with External Requirements (memastikan pemenuhan terhadap kebutuhan ekstern).

d.

ME4 : Provide IT Governance (menyediakan kepemimpinan TI). Selain ke 4 domain tersebut, ada hal lain yang sangat berperan penting

dalam CobIT yakni hubungan antara tujuan bisnis dengan tujuan TI, yang dibagi menjadi 4 perspektif yang di dalamnya terdapat tujuan bisnis antara lain : 1.

Financial Perspective a.

Provide a good return on investment of IT - enabled business invenstment (menghasilkan pengembalian yang baik atas investasi TI).

   

34 b.

Manage IT - related business risk (mengelola TI dari resiko bisnis yang terkait).

c.

Improve corporate governance and transparency (meningkatkan tata kelola perusahaan dan transparansi).

2.

Customer Perspective a.

Improve customer orientation and service (meningkatkan orientasi dan layanan pelanggan).

b.

Offer competitive and services (menawarkan produk dan layanan yang mampu bersaing).

c.

Estabilish

service

continuity

and

availability

(meningkatkan

keberlanjutan dan ketersediaan layanan). d.

Create agility in responding to changing business requirements (menciptakan kecerdasan untuk merespon dalam merubah persyaratan bisnis).

e.

Achieve cost optimization of service delivery (pencapaian biaya yang optimal dalam pemberian layanan).

f.

Obtain reliable and useful information for strategic decision making (memperoleh kepercayaan dan informasi yang berguna untuk strategi dalam membuat keputusan).

3.

Internal Perspective a.

Improve and maintain business process functionality (meningkatkan dan mempertahankan fungsionalitas proses bisnis).  

 

35 b.

Lower process costs (mengurangi biaya proses).

c.

Provide compliance with external laws, regulations, and contracts (menyediakan pemenuhan dengan hukum eksternal, regulasi dan kontrak).

d.

Provide compliance with internal policies (menyediakan pemenuhan dengan kebijakan internal).

e.

Manage business change (mengelola perubahan bisnis).

f.

Improve and maintain operational and staff productivity (meningkatkan dan mempertahankan produktivitas operasional dan perusahaan).

4.

Learning and Growth Perspective a.

Manage product and business innovation (mengelola produk dan inovasi bisnis).

b.

Acquire and maintain skilled and motivated people (memperoleh dan memelihara keahlian dan memotivasi orang). Domain - domain itu juga menyangkut dengan seluruh sumber daya TI,

yang menurut IT Governance dalam CobIT 4.1 (2007, p12) didefinisikan sebagai berikut : 1.

Aplikasi adalah otomatisasi sistem dan prosedur manual dalam proses informasi.

2.

Informasi adalah data yang telah diolah, dimana terdiri dari formulir formulir, proses input dan output dari sistem informasi yang digunakan dalam proses bisnis.  

 

36 3.

Infrastruktur adalah teknologi dan fasilitas yang digunakan dalam proses aplikasi.

4.

Sumber Daya Manusia adalah personal yang menggunakan sistem informasi.

2.2.13 Maturity Model Menurut Noerlina dan Cory (2008,p15) Maturity Models, yaitu untuk memampukan

perusahaan

melakukan

benchmarking

dan

identifikasi

pembaharuan yang perlu dilakukan. Maturity itu terdiri dari level 0 - 5, yaitu : Level 0 Æ Non-existent, yaitu proses manajemen belum diaplikasikan (diterapkan) sama sekali. Level 1 Æ Initial, yaitu proses bersifat ad-hoc dan tidak teroganisir. Level 2 Æ Repeatable, yaitu proses telah mengikuti pola yang telah ada. Level 3 Æ Defined , yaitu proses telah didokumentasikan serta dikomunikasikan. Level 4 Æ Managed, yaitu proses telah dimonitor dan diukur. Level 5 Æ Optimised, yaitu good practice telah diikuti dan diotomatisasi.