BAB II LANDASAN TEORI 2.1
Konsep dasar Sistem, Informasi, dan Sistem Informasi
2.1.1
Definisi Sistem Sistem adalah suatu kesatuan yang terdiri dari komponen atau elemen
yang dihubungkan untuk memudahkan aliran informasi, materi atau energi untuk mencapai suatu tujuan. [6] Sistem merupakan sekumpulan elemen-elemen atau subsistem-subsistem yang saling berkaitan dan saling mempengaruhi dalam melakukan kegiatan bersama untuk mencapai suatu tujuan. Subsistem tersebut merupakan sistem di dalam suatu sistem. [7] Sistem mempunyai karakteristik sebagai berikut: [3] 1. Komponen (Elemen) Suatu sistem yang terdiri dari sejumlah komponen yang saling berinteraksi, yang artinya saling bakerja sama membentuk suatu kesatuan. 2. Batasan (Boundary) Batasan sistem merupakan daerah yang membatasi antara suatu sistem dengan sistem yang lain. 3. Lingkungan Luar (Environment) Lingkungan luar sistem adalah apapun diluar batas dari sistem yang mempengaruhi operasi sistem. 4. Penghubung Sistem (Interface) Penghubung sistem merupakan media penghubung antara satu subsistem dengan subsistem lainnya. 5. Masukan (Input) Input merupakan energi yang dimasukkan ke dalam sistem. Pada sistem informasi masukkan dapat berupa data transaksi, data non transaksi, dan instruksi.
II-1
Bab
II Landasan Teori
|II-2
6. Keluaran (Output) Output merupakan hasil dari pemrosesan input. Output ini dapat berupa informasi, saran, dan laporan. 7. Sasaran Sistem (Objective) Sasaran sistem yaitu suatu tujuan yang ingin dicapai sistem. 2.1.2
Definisi Informasi [1] Informasi merupakan data yang sudah diolah menjadi bentuk yang lebih
berguna dan lebih berarti (bermanfaat) bagi penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat dipahami dan dapat digunakan untuk pengambilan keputusan, sekarang maupun untuk masa depan. Sumber dari informasi adalah data. Data merupakan bentuk jamak dari bentuk tunggal datum atau data-item. Data sebagai input perlu diolah oleh suatu sistem pengolahan data agar dapat menjadi output, yaitu informasi yang lebih berguna bagi pemakainya (user). Agar suatu informasi dapat lebih berguna harus memiliki beberapa ciri ciri atau karakteristik berikut: 1. Akurat, reliable (dapat dipercaya), berarti informasi harus terbebas dari adanya kesalahan - kesalahan dan tidak menyesatkan para user-nya (free from error). 2. Relevan (cocok atau sesuai). Informasi yang relevan harus memberikan arti kepada para pengguna, berarti informasi relevan mempunyai manfaat bagi user-nya (pemakai). 3. Timely (tepat waktu). Informasi yang disajikan tepat pada saat dibutuhkan dan bisa mempengaruhi proses pengambilan keputusan. 4. Complete (lengkap). Informasi yang disajikan lengkap, termasuk di dalamnya semua data - data yang relevan. 5. Understanable (dimengerti). Informasi yang disajikan hendaknya dalam bentuk yang mudah dimengerti oleh si pembuat keputusan. 6. Verifable, informasi yang dihasilkan tidak bias, menyebabkan perbedaan dalam memahaminya.
Bab
II Landasan Teori
|II-3
7. Accessible, informasi dikatakan accessible bila tersedia pada saat diperlukan dalam format yang sesuai dengan kepentingannya. 2.1.3
Definisi Sistem Informasi Muhammad Fakhri Husein dan Amin Wibowo mendefinisikan sistem
informasi sebagai seperangkat komponen yang saling berhubungan dan berfungsi mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi. [1] Sistem Informasi adalah sekumpulan hardware, software, brainware, prosedur dan atau aturan yang diorganisasikan secara integral untuk mengolah data menjadi informasi yang bermanfaat guna memecahkan masalah dan pengambilan keputusan. [9] Sistem Informasi juga dapat diartikan sebagai kumpulan elemen atau sumber dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu, bertujuan mengolah data menjadi informasi. [4] Sistem informasi mempunya beberapa komponen fisik, yaitu: [17] 1. Perangkat
keras
komputer
(hardware):
CPU,
storage,
perangkat
input/output, terminal untuk interaksi, media komunikasi data. 2. Perangkat lunak komputer (software): perangkat lunak sistem (sistem operasi dan utilitinya), perangkat lunak umum aplikasi (bahasa pemrograman), perangkat lunak aplikasi (aplikasi akuntansi dll). 3. Basis data: penyimpanan data pada media penyimpanan komputer. 4. Prosedur: langkah-langkah penggunaan sistem. 5. Personil untuk pengelolaan operasi (SDM). 2.2
Konsep Dasar Audit Sistem Informasi
2.2.1
Definisi Audit Secara umum, audit adalah suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat
Bab
II Landasan Teori
|II-4
kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan,
serta
penyampaian
hasil-hasilnya
kepada
pemakai
yang
berkepentingan. [10] Menurut Arens and Loebbecke, audit adalah kegiatan mengumpulkan dan mengevaluasi dari bukti-bukti mengenai informasi untuk menentukan dan melaporkan tingkat kesesuaian antara informasi dengan kriteria yang telah ditetapkan. Proses audit harus dilakukan oleh orang yang kompeten dan independent. [11] 2.2.2
Audit Sistem Informasi [12] Menurut
Ron Weber, audit sistem informasi merupakan proses
pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Dengan kata lain, tujuan dari suatu audit sistem informasi adalah untuk mengetahui apakah pengendalian teknologi informasi telah dapat memberikan jaminan bahwa tujuan atau manfaat dari teknologi informasi telah dapat dicapai serta risiko yang terkait dengan pemanfaatan teknologi informasi telah dapat dikendalikan. Kepatuhan terhadap peraturan dan perundang-undangan merupakan salah satu tujuan dan risiko yang harus dikendalikan. 2.3
Model - model Standar Audit Tata Kelola Sistem Informasi
2.3.1
ITIL [13] ITIL atau singkatan dari IT Infrastructure Library ini dikembangkan oleh
The Office of Government Commerce (OGC) suatu badan dibawah pemerintah Inggris, yang bekerjasama dengan The IT Service Management Forum (ITSMF) suatu organisasi independen mengenai manajemen pelayanan TI - dan British Standard Institute (BSI) - suatu badan penetapan standar pemerintah Inggris. ITIL merupakan suatu framework pengelolaan layanan TI yang sudah diadopsi sebagai standar industri pengembangan perangkat lunak di dunia. Framework ITIL terdiri dari dua bagian utama, yaitu: Service Support
Bab
II Landasan Teori
|II-5
Management (Service Desk, Incident Management, Problem Management, Configuration Management, Change Management, dan Release Management) dan Service Delivery Management (Availability Management, Capacity Management, IT Service Continuity Management, Service Level Management, Financial Management for IT Services, dan Security Management). Standar ITIL berfokus pada pelayanan customer, dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan. 2.3.2
ISO/IEC 17799 [14] ISO/IEC 17799 dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel "Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000. ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi, yaitu: 1. Confidentiality: memastikan bahwa informasi hanya dapat diakses oleh yang berhak. 2. Integrity: menjaga akurasi dan selesainya informasi dan metode pemrosesan. 3. Availability: memastikan bahwa user yang terotorisasi mendapatkan akses kepada
informasi
dan
aset
yang
terhubung
dengannya
ketika
memerlukannya. 2.3.3
COSO [1] Pada Oktober 1987, The National Commission on Fraudulent Financial
Reporting (yang lebih dikenal dengan sebutan The Treadway Commission Report) menghasilkan kajian yang disebut COSO framework/model of internal control. COSO (Committee of Sponsoring Organization) adalah komite yang diorganisir oleh lima organisasi profesi, yaitu: IIA, AICPA, IMA FEI, dan AAA. Model COSO adalah salah satu model pengendalian internal yang banyak digunakan oleh para auditor sebagai dasar untuk mengevaluasi, mengembangkan
Bab
II Landasan Teori
|II-6
internal control. Menurut COSO (The Committee of Sponsoring Organization) yang dikutip oleh Amin (2000, p.3) dalam bukunya yang berjudul COSO Based Auditing, sistem pengendalian intern didefinisikan dalam suatu batasan pengertian sebagai berikut: “internal Control: a process, effected by an entity’s board of directors, manajement, and other personnel, designed toprovide reasonabel assurance regarding the achievement of objectives in following categories: 1.
Effectiveness and effisiency of operations.
2.
Realibility of financial reporting.
3.
Compliance with applicable laws and regulations.
Key point model COSO adalah: 1. Internal control is process. 2. Internal control is affected by people (board of director, other personnel). 3. Internal control can be expected to provide only reasonable assurance. 4. Internal control is geared to the achievement of objectives. Salah satu diagram model COSO adalah sebagai berikut:
Gambar 2.1 COSO Internal Control Model
Bab
II Landasan Teori
|II-7
Model (framework) COSO terdiri dari lima komponen (unsur-unsur) yang saling berhubungan yang akan menunjang tujuan perusahaan yaitu: 1. Control Environment (lingkungan pengendalian). 2. Risk Assesment (penaksiran risiko). 3. Control Activities (aktivitas pengendalian). 4. Information & Communication (informasi dan komunikasi). 5. Monitoring (pemantauan). 2.3.4
COBIT [1] COBIT (Control Objectives for Information & Related Technology) adalah
merupakan a set of best practices (framework) bagi pengelolaan teknologi informasi (IT Management). COBIT disusun oleh the IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA), tepatnya Information System Audit and Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003 dan saat ini adalah edisi keempat pada Desember 2005. Secara komplitnya paket produk COBIT terdiri dari COBIT product family, yaitu: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT user, dan para manajer, pada gambar berikut:
Bab
II Landasan Teori
|II-8
Gambar 2.2 COBIT Family of Products 2.3.4.1 Kriteria Kerja COBIT [1] Sumberdaya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk
pemenuhan
kebutuhan
bisnis
terhadap:
efektivitas,
efisiensi,
kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan, dan keandalan informasi. Kriteria kerja COBIT meliputi:
Tabel 2.1 Kriteria Kerja COBIT Efektifitas
Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
Efisiensi
Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
Kerahasiaan
Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
Integritas
Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Bab
Ketersediaan Berhubungan
dengan
II Landasan Teori
informasi
yang
tersedia
|II-9
ketika
diperlukan dalam proses bisni sekarang dan yang akan datang. Kepatuhan
Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
Keakuratan
Berhubungan dengan ketentuan kecocokan informasi untuk
Informasi
manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.
2.3.4.2
Kerangka Kerja COBIT [1] COBIT merupakan IT governance best practices yang membantu auditor,
manajemen, pengguna (user) untuk menjembatani aspek bisnis, kebutuhan kontrol dan aspek teknis TI. COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guidelines ini dengan baik. Kerangka kerja COBIT ini terdiri atas beberapa arahan (guidelines), yakni: 1. Control Objectives Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu planning & organization, acquisition & implementation, delivery & support, dan monitoring. 2. Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan. 3. Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut: a. Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. b. Apa saja indikator untuk suatu kinerja yang bagus?
Bab
II Landasan Teori
|II-10
c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors)? d. Apa saja risiko yang timbul bila sasaran yang ditentukan tak tercapai? e. Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan? f. Bagaimana anda mengukur keberhasilan dan menilainya? The COBIT Framework memasukkan juga hal-hal berikut ini: 1. Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices. 2. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. 3. Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business requirements. 4. Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan dengan process goal. 2.3.4.3 Domain COBIT [1] COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen teknologi informasi yang mencakup empat domain, yaitu: Planning and Organization, Acquisition and Implementation, Delivery and Support, dan Monitoring. Empat domains pada framework COBIT tersebut selanjutnya dirinci menjadi 34 high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control objectives), sebagai berikut :
Tabel 2.2 Domain & High Level Controls COBIT COBIT Domain 1.
High Level Objectives
Plan and
PO1- Menentukan rencana strategis
Organize
PO2- Menentukan arsitektur informasi PO3- Menentukan arah teknologi PO4- Menentukan proses IT, organisasi dan hubungannya
Bab
II Landasan Teori
|II-11
PO5- Mengatur investasi IT PO6- Mengkomunikasikan tujuan dan arahan management PO7- Mengelola sumberdaya manusia PO8- Memastikan Kesesuaian dengan kebutuhankebutuhan eksternal PO9- Menilai dan mengelola resiko IT PO10- Mengatur proyek PO11- Mengatur Kualitas 2.
Acquire
AI1- Mengidentifikasi solusi yang dapat diotomatisasi
and
AI2- Mendapatkan dan memelihara software aplikasi
Implement
AI3- Memperoleh dan memelihara infrastruktur teknologi AI4- Mengembangkan dan memelihara prosedur AI5- Instalasi dan pengakuan sistem AI6- Mengatur perubahan
3.
Deliver and Support
DS1- Menentukan dan mengelola tingkat layanan DS2- Mengelola layanan dari pihak ketiga DS3- Mengelola performa dan kapasitas DS4- Menjamin layanan yang berkelanjutan DS5- Menjamin keamanan sistem DS6- Mengidentifikasi dan mengalokasikan biaya DS7- Mendidik dan melatih pengguna DS8- Membantu dan memberikan masukan pada pelanggan DS9- Mengelola konfigurasi DS10- Mengelola kegiatan dan permasalahan DS11- Mengelola data DS12- Mengelola fasilitas DS13- Mengelola operasi
4.
Monitor and Evaluate
ME1- Mengawasi proses ME2- Menilai kecukupan pengendalian internal ME3- Memperoleh jaminan independen ME4- Menyediakan audit independen
Dalam bentuk gambar, hubungan seluruh kerangka kerja COBIT dapat dilihat sebagai berikut :
Bab
II Landasan Teori
|II-12
Gambar 2.3 COBIT Business Control Objectives-IT Governance 2.3.4.4
Orientasi Pada Domain Planning & Organization [1] Domain ini mencakup masalah mengidentifikasikan cara terbaik TI untuk
memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Dititikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Planning & organization membahas tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari berbagai perspektif). Berikut adalah high level objectives pada domain planning and organization: PO1- Menentukan rencana strategis PO2- Menentukan arsitektur informasi
Bab
II Landasan Teori
|II-13
PO3- Menentukan arah teknologi PO4- Menentukan proses IT, organisasi dan hubungannya PO5- Mengatur investasi IT PO6- Mengkomunikasikan tujuan dan arahan management PO7- Mengelola sumberdaya manusia PO8- Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal PO9- Menilai dan mengelola resiko IT PO10- Mengatur proyek PO11- Mengatur Kualitas 2.4
Maturity Models [16] Maturity Model adalah suatu metode untuk mengukur level pengembangan
manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT. Penerapan yang tepat pada tata kelola teknologi informasi di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan, dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya teknologi informasi. 2.4.1
Skala Pengukuran Maturity Levels [2] Skala pengukuran maturity levels dirancang untuk mengukur posisi
kematangan dalam pengembangan teknologi informasi serta menentukan prioritas perbaikan dan peningkatan sampai pada tingkat tertinggi agar aspek IT Governance dapat berjalan secara efektif dan sejalan dengan strategi bisnis yang telah ditetapkan.
Bab
II Landasan Teori
|II-14
Penggunaan nilai maturity level yang dikembangkan untuk setiap 34 proses teknologi
informasi,
sehingga memungkinkan manajemen
untuk
mengidentifikasi: 1. Kinerja sesungguhnya perusahaan dan posisi kondisi perusahaan sekarang. 2. Kondisi sekarang dari industri sebagai perbandingan. 3. Target peningkatan perusahaan terhadap kondisi yang diinginkan. 4. Strategi pengelolaan teknologi informasi perusahaan. Tujuan pengukuran maturity level ialah: [5] 1. Menumbuhkan kepedulian (awarness). 2. Melakukan identifikasi kelemahan (weakness). 3. Melakukan identifikasi kebutuhan perbaikan (improvement). Untuk membuat hasil dapat mudah digunakan dan dimengerti dibuatlah representasi grafis model kedewasaan (maturity model) seperti pada gambar:
Gambar 2.4 Graphic Representation of Maturity Models Tabel skala pengukuran dan deskripsi dari representasi grafis model kedewasaan (maturity model) sebagai berikut: [15] Tabel 2.3 Skala Pengukuran Maturity Level Level
Kriteria Maturity Level
0
Kurang lengkapnya terhadap proses apapun yang dapat
Non-
dikenali. Perusahaan bahkan tidak mengetahui bahwa ada
existent
masalah yang harus ditangani.
1
Ada bukti bahwa perusahaan telah mengetahui bahwa ada
Bab
II Landasan Teori
|II-15
Initial/Ad
masalah yang harus ditangani. Namun demikian, tidak ada
Hoc
proses standar, namun menggunakan pendekatan Ad Hoc yang cenderung diterapkan secara individu atau kasus per kasus. Pendekatan kepada pengelolaan proses tidak terorganisasi. 2
Proses telah dikembangkan ke tahap di mana prosedur yang
Repeatable
sama diikuti oleh pihak berbeda yang melakukan tugas serupa.
but
Tidak ada pelatihan formal atau komunikasi prosedur standar
Intuitive
dan tanggung jawab diserahkan kepada masing-masing individu. Adanya tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan kesalahan bisa terjadi.
3
Prosedur telah distandarisasi dan dikomunikasikan melalui
Defined
pelatihan. Hal tersebut mengharuskan proses ini untuk diikuti,
Process
namun penyimpangan bisa saja tidak terdeteksi. Prosedur tersebut tidak lengkap namun sudah memformalkan praktek yang berjalan.
4
Manajemen mengawasi dan mengukur kepatuhan sesuai
Managed
dengan prosedur dan mengambil tindakan di mana proses yang
and
tampaknya tidak akan bekerja secara efektif. Proses berada di
Measurable
bawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomasi dan perangkat digunakan dalam batasan tertetentu atau terfragmentasi.
5
Proses telah disempurnakan ke tingkat yang lebih baik,
Optimised
berdasarkan hasil dari perbaikan yang dilakukan secara terusmenerus dengan pemodelan perusahaan lainnya. Teknologi informasi digunakan secara terintegrasi untuk mengotomatisasi alur kerja, menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas, serta membuat perusahaan cepat beradaptasi.
Tabel 2.4 Skala Penilaian Maturity 0 - 0.50
Non-existent
0.51 - 1.50
Initial/Ad Hoc
1.51 - 2.50
Repeatable but Intuitive
Bab
II Landasan Teori
2.51 - 3.50
Defined Process
3.51 - 4.50
Managed and Measurable
4.51 - 5.00
Optimised
|II-16
Maturity level pada tiap-tiap organisasi biasanya ditampilkan dalam grafik laba-laba atau spider chart seperti gambar berikut : [15]
Gambar 2.5 Spider Chart
