BAB 2 LANDASAN TEORI
2.1 Sistem Informasi Menurut O'Brien dan Marakas (2013: 6), “information system (IS) can be
any
organized
combination
of
people,
hardware,
software,
communications networks, data resources, and policies and procedures that stores,
retrieves,
transforms,
and
disseminates
information
in
an
organization”. Menurut Hall (2013: 5), “Information system is the set of formal procedures by which data are collected, stored, processed into information, and distributed to users”. Maka penulis mendefinisikan sistem informasi menurut pengertian diatas adalah serangkaian aktivitas kegiatan terintegrasi dari input, proses sampai output untuk mengolah
data
hingga
menjadi nilai untuk
perusahaan.Dan berikut adalah contoh-contoh dan gambar dari klasifikasi sistem informasi(O'Brien dan Marakas, 2013: 13-16): Information Systems
Operations Support Systems
Specialized Processing Systems
Transaction Processing
Systems
Managemen t Support Systems
Process Control Systems
Expert System
Enterprise Collaboration Systems
Management Information
Decision Support Systems
Systems
Knowledge management Systems
Strategic Information Systems
Executive Information Systems
Functional Business Systems
Gambar 2.1 Klasifikasi Sistem Informasi Sumber: O'Brien dan Marakas (2013: 13)
2.1.1 Operation Support Systems Operation Support Systems – membantu menjalankan kegiatan bisnis sehari – hari. 9
Specialized Processing Systems
10
2.1.1.1 Transaction Processing Systems (TPS) Transaction Processing Systems (TPS) – mencatat dan memproses transaksi sehari – hari. 2.1.1.2 Process Control Systems (PCS) Process Control Systems (PCS) – memantau dan memberikan pengendalian pada kegiatan atau proses. 2.1.1.3 Enterprise Collaboration Systems (Office Automation Systems) Enterprise
Collaboration
Systems
(Office
Automation Systems) – meningkatkan tim, komunikasi dalam bekerja sama dan produktifitas.
2.1.2 Management Support Systems Management Support Systems – mendukung kegiatan – kegiatan
manajerial
yang
berhubungan
dengan
strategi
dan
pengambilan keputusan. 2.1.2.1 Management Information Systems Management Information Systems – menampilkan dan melaporkan yang ditujukan untuk manajer sebagai alat bantu mereka membuat keputusan bisnis yang lebik baik. 2.1.2.2 Decision Support Systems Decision Support Systems – bantuan langsung dari otomatisasi komputer untuk pengambilan keputusan. 2.1.2.3 Executive Information Systems Executive Information Systems – informasi yang sangat penting khususnya untuk tingkat eksekutif agar dapat mengambil keputusan strategi yang lebih baik, (bukan MIS yang lebih bagus).
2.1.3 Other Information Systems / Specialized Processing Systems Other Information Systems /Specialized Processing Systems mendukung baik operasional maupun manajerial dengan fungsi khusus yang memang didesain untuk menunjang aktivitas tertentu.
11
2.1.3.1 Expert Systems Expert
Systems
–
sistem
berbasis
ilmu
pengetahuan yang dapat memberikan saran atau bertindak sebagai konsultan bagi penggunanya. 2.1.3.2 Knowledge Management Systems Knowledge Management Systems - sistem informasi berbasis-ilmu pengetahuan yang mendukung pembuatan, penyimpanan dan pendistribusian business knowledge kepada para karyawan dan pimpinan dalam suatu organisasi. 2.1.3.3 Strategic Information Systems Strategic Information Systems - sistem informasi yang mendukung proses operasi dan manajemen yang menyediakan strategis
produk,
dalam
layanan,
kaitannya
dan
kemampuan
dengan
keunggulan
kompetitif. 2.1.3.4 Functional Business Systems Functional Business Systems - sistem informasi yang mendukung berbagai aplikasi operasioanal dan manajerial dari fungsi-fungsi bisnis organisasi.
2.2 Sistem Informasi Akuntansi Menurut
Turner
dan
Weickgenannt
(2013:
4),
“Accounting
Information System comprises the process, procedures, and system that capture accounting data from business processes; record the accounting data in the appropriate records; and report the summarized accounting data to internal and external users”. Menurut Considine, Parkes, Olesen, Blount, & Speer (2012: 12), sistem informasi akuntansi merupakan “an accounting information system can be define as the application of technology to the capturing, verifying, storing, sorting and reporting of data relating to an
organisation’s
activities”. Menurut Hall (2013: 7), Sistem Informasi Akuntansi merupakan proses dari transaksi keuangan dan transaksi bukan keuangan yang memiliki
12
pengaruh langsung terhadap transaksi keuangan. Seperti contoh perubahan nama dan alamat pelanggan merupakan transaksi bukan keuangan akan tetapi perubahan tersebut menyediakan informasi penting untuk proses penjualan pelanggan dimasa yang akan datang.
2.2.1 Tujuan Sistem Informasi Akuntansi Tujuan dari Sistem Informasi Akuntansi untuk mengintegrasikan sistem secara fisik untuk mencapai efisiensi operasional (Hall, 2013: 5).
2.2.3 Jenis Sistem Informasi Akuntansi Sistem Informasi Akuntansi terbagi menjadi tiga bagian yaitu General Ledger / Financial Reporting System (GL/FRS),
Transaction
Processing
System
(TPS)
dan
Management Reporting System (MRS). Berikut adalah contohcontoh dan gambar dari jenis Sistem Informasi Akuntansi (Hall, 2013: 6-9):
Gambar 2.2 Jenis Sistem Informasi Akuntansi Sumber: (Hall, 2013: 6)
13
2.2.3.1 General Ledger / Financial Reporting System (GL/FRS) General Ledger / Financial Reporting System (GL/FRS) merupakan dua subsistem AIS yang berhubungan erat namun tetap berjalan masing masing. Sistem GL akan mencatat aktivitas transaksi yang biasa dilakukan maupun yang jarang dilakukan kemudian merangkum transaksi – transaki tersebut lalu sistem FRS akan menghitung dan memberikan output berupa laporan, status, atau perubahan asset
dan
kemudian akan diinformasikan kepada users biasnya untuk eksternal, contohnya pengembalian pajak, laporan keuangan tradisional, dan dokumen lainnya. 2.2.3.2 Transaction Processing System (TPS) TPS merupakan pusat dari fungsi keseluruhan sistem
informasi
yang
mendukung
kegiatan
operasional bisnis setiap harinya seperti laporan, dokumen dan pesan untuk pengguna dalam organisasi. TPS memiliki tiga siklus transaksi yaitu expenditure cycle, conversion cycle, dan revenue cycle. 2.2.3.2.1 Expenditure Cycle Expenditure Cycle merupakan aktivitas bisnis dimulai pada saat pengadaan bahan, tenaga
kerja
sampai
penukaran
kas.
Expenditure Cycle terbagi menjadi empat bagian
yaitu
sistem
pembelian,
sistem
pengeluaran kas, sistem proses penggajian, dan sistem harta tetap(Hall, 2013: 33). Yang termasuk dalam Expenditure Cycle adalah : a. Purchase System b. Cash Disbursement System c. Payroll Processing System d. Fixed Asset System
14
2.2.3.2.2 Conversion Cycle Conversion Cycle terdiri dari dua bagian yaitu sistem akuntansi biaya dan sistem perencanaan produksi dan sistem pengendalian (Hall, 2013: 33). Yang termasuk Conversion Cycle adalah : a. Cost Accounting System b. Production
Planning
and
Control System 2.2.3.2.3 Revenue Cycle Revenue penjualan
Cycle
tunai,
meliputi
penjualan
proses
kredit
dan
penerimaan kas dari penjualan kredit(Hall, 2013: 33). 2.2.3.2.3.1 Sales Processing System Sales Processing System terdiri dari menerima dan memproses pesanan pelanggan,
memenuhi pesanan
pengiriman
produk
ke
dan
pelanggan,
penagihan ke pelanggan dan memeriksa transaksi akuntansi (Hall, 2013: 146). 2.2.3.2.3.2 Cash Receipt System Pada prosedur penjualan hasil dari transaksi kredit yaitu piutang, dan prosedur sistem penerimaan kas untuk kejadian
yang
akan
datang
yang
meliputi penerimaan kas, penyimpanan kas di Bank, mencocokan pembayaran pelanggan dengan menyesuaikan akun yang benar, dan mencocokan rincian transaksi keuangan (Hall, 2013: 155). 2.2.3.3 Management Reporting System MRS menyediakan informasi keuangan internal yang dibutuhkan
dalam
mengelola
bisnis.Manajer
harus
15
menghadapi masalah bisnis sehari – hari, begitu juga membuat perencanaan
dan
mengawasi
operasional.Manajer
membutuhkan berbagai jenis informasi yang berbeda – beda untuk mengambil keputusan. Jenis laporannya termasuk pendanaan, laporan varian, analisa cost–volume–profit, dan laporan
biaya
(lebih
membutuhkan
yang
berjalan
dibandingkan yang sudah lama). Laporan ini biasa disebut ”discretionary reporting” karena organisasi dapat memilih informasi apa dan bagaimana menyajikannya.
2.3 Siklus Pendapatan Menurut Hall (2013: 33)“Revenue cycle which involves processing cash sales, credit sales, and the receipt of cash following a credit sale”. Menurut Considine, Parkes, Olesen, Blount dan Speer (2012 : 394),“The revenue cycle commences when a customer indicates they want to purchase a product, and ends after the product has been delivered and payment received”. Maka penulis mendefinisikan siklus pendapatan menurut pengertian diatas adalah proses bisnisdimulai dari permintaan, penjualan, memberikan value sampai penerimaan kas. Menurut Considine, Parkes, Olesen, Blount dan Speer (2012: 398), siklus pendapatan dibagi menjadi dua yaitu : a. Front End:Front-end dari siklus pendapatan adalah proses yang berhadapan langsung dengan pelanggan ketika transaksi terjadi. b. Back End: bagian dari siklus penjualan yang dilakukan oleh karyawan yang tidak kontak langsung dengan pelanggan.
2.4 Risiko Menurut Peltier (2014: 53), “The combination of threat, probability, and impact expressed as a value in a predefined range”. Menurut Peltier (2005:8),“Risk is a threat that exploits some vulnerability that could cause harm to an asset, a risk within a system is represented by the formula (asset * threat * vulnerability)”.
16
Menurut Kouns dan Minoli (2010: 4), “Risk is a quantitative measure of the potential damage caused by a threat, by a vulnerability, or by an event (malicious or nonmalicious) that affects the set of IT assets owned by the organization”. Menurut Ulric J. Gelinas, Dull dan Wheeler (2012: 222), “Risks are those events that would have a negative impact on organization objectives, and opportunities are events that would have a positive impact on objectives”. Dengan melihat definisi para ahli di atas maka penulis mengartikan risiko sebagai sesuatu kemungkinan yang dapat terjadi disebabkan oleh ancaman, kerentanan dan kelalaian yang memiliki dampak dan juga bisa datang dari internal maupun eksternal.
2.4.1 Ancaman Menurut Peltier (2014: 53),“Threat the potential for an event, malicious or otherwise, that would damage or compromise an asset”. Dengan melihat definisi ahli di atas maka penulis mengartikan ancaman sebagai sesuatu yang berpotensi merugikan perusahaan atau organisasi.
2.4.2 Kerentanan Menurut Peltier (2005: 53) kerentanan adalah, “Any flaw or weakness in the asset’s defenses that could be exploited by a threat to create an impact on the asset”. Menurut ISO (2009) kerentanan adalah,“Intrinsic properties of something resulting in susceptibility to a risk source that can lead to an event with a consequence”. Dengan melihat definisi para ahli di atas maka penulis mengartikan kerentanan sebagai celah yang dapat ditembus sehingga mungkin membahayakan atau merugikan bagi perusahaan.
17
2.5 Jenis Risiko Menurut Cannon (2011: 153), “An audit risk assessment should take into account the following types of risks.” Sebuah audit penilaian risiko harus memperhitungkan jenis – jenis risiko berikut. Dibawah ini adalah jenis – jenis risiko yang dimaksud di atas : 1. Inherent Risks – “These are natural or built-in risks that always exist. Driving your automobile holds the inherent risk of an automobile accident or a flat tire. Theft is an inherent risk for items of high value.”Inherent Risks ini adalah risiko alami atau bawaan yang akan selalu ada. Menyetir kendaraan bermotor memiliki inherent risk yaitu kecelakaan atau ban kempes. Pencurian adalah inherent risk dari barang berharga. 2. Detection Risks – “These are the risks that an auditor will not be able to detect what is being sought. It would be terrible to report no negative results when material conditions (faults) actually
exist.
Detection
risks
include
sampling
and
nonsampling risks.”Detection Risks ini adalah risiko – risiko yang tidak akan bisa diketahui auditor. Akan sangat gawat sekali untuk melaporkan hasil yang tidak negatif ketika sebenarnya terdapat kondisi material atau bukti kesalahan. Di dalam inherent risk di dalamnya terdapat sampling risks dan nonsampling risk : a. Sampling Risks – “These are the risks that an auditor will falsely accept or erroneously reject an audit sample (evidence).” Sampling Risks adalah risiko dimana auditor akan dengan salah menerima sampel audit (bukti) atau keliru menolak sampel audit (bukti). b. Nonsampling Risks – “These are the risks that an auditor will fail to detect a condition because of not applying
the
appropriate
procedure
or
using
procedures inconsistent with the audit objective (detection fault).”Nonsampling Risks adalah risiko dimana auditor gagal mendeteksi suatu kondisi dikarenakan
tidak
konsisten
dalam
menerapkan
18
prosedur atau tidak menerapkan prosedur yang sesuai dengan tujuan audit 3. Control Risks – “These are the risks that an auditor could lose control, errors could be introduced, or errors may not be corrected in a timely manner (if ever).”Control Risks adalah risiko dimana auditor kehilangan pengendalian, kesalahan bisa saja dilakukan, atau kesalahan tidak dikoreksi sesuai jadwal. 4. Business Risks – “These are risks that are inherent in the business or industry itself. They may be regulatory, contractual, or financial.” Business Risks adalah risiko yang dibawa dari bisnis atau industri organisasi itu sendiri. Bisa saja seperti regulasi, yang memiliki kontrak, atau financial. 5. Technological Risks – “These are inherent risks of using automated technology. Systems do fail.” Technological Risks adalah risiko yang muncul akibat penggunaan teknologi yang otomatis. Kegagalan sistem bisa saja terjadi. 6. Operational Risks – “These are the risks that a process or procedure will not perform correctly.” Operational Risks adalah risiko dimana sebuah proses atau prosedur tidak berjalan secara benar atau sesuai. 7. Residual Risks – “These are the risks that remain after all mitigation efforts are performed.” Residual Risks adalah risiko yang masih tersisa atau ada setelah semua upaya mitigasi dijalankan. 8. Audit Risks – “These are the combination of inherent, detection, control, and residual risks.” Audit Risks adalah gabungan dari risko inherent, detection, control, dan residual.
2.6 Penilaian Risiko Tradisional Menurut Peltier (2014: 53), CIA adalah salah satu bentuk penilaian risiko yang tradisional, sangat penting untuk diketahui bahwa masih ada atribut lainnya yang bisa digunakan. Pada penilaian risiko yang akan dilakukan, penulis menambahkan dua atribut yaitu reliability dan compliance.
19
Berikut adalah tabel definisi Availability, Confidentiality, Integrity, Reliability, Compliance:
Tabel 2.1 Definisi Availability, Confidentiality, Integrity, Reliability, Compliance Term
Definition
Availability
Menjamin informasi dan komunikasi akan tersedia untuk digunakan bila diharapkan
Confidentiality Jaminan bahwa informasi tidak diungkapkan kepada entitas atau proses yang tidak patut Integrity
Menjamin informasi tidak akan diubah atau dihancurkan secara tidak sengaja ataupun dengan maksud jahat
Reliability
Menjaga hasil performa yang telah dicapai agar dapat digunakan berulang kali atau terus menerus
Compliance
Kepatuhan atau ketaatan dalam menjalankan prosedur atau regulasi, mengikuti ketetapan yang sudah ada atau dibuat
Sumber : (Peltier, 2014: 55), (Cochran & McKinzie, 2011: 10)
2.7 Penilaian Risiko Menurut Peltier (2014: 53),“ risk assessment is to determine threats to assets based on examining confidentiality, integrity, and availability try to remain open to other possibilities”. Menurut Ulric J. Gelinas, Dull dan Wheeler (2012: 221), “risk assessment is risk are analyzed, considering likelihood and impact, as a basis for determining how they should be managed”. Maka penulis mendefinisikan penilaian risiko menurut pengertian diatas adalah aktivitas memindai dan menilai ancaman dengan melihat kriteria kerahasiaan, keutuhan, dan ketersediaan nilai asset dari segala kemungkinan.
2.7.1 Matriks Penilaian Risiko Menurut
ISO
31000
(2009),“risk
management
framework set of components that provide the foundations and
20
organizational
arrangements
implementing, monitoring,
for
reviewing
designing,
and
continually
improving risk management throughout the organization”. Menurut ISO 31000 (2009), “Risk Matrix is a tool for ranking
and
displaying risks
by
defining
ranges
for consequence and likelihood”. Adalah sebuah alat bantu untuk membuat peringkat dan menampilkan risiko – risiko dengan mendefinisikan kisaran koonsekuensi dan seberapa sering terjadinya. Berikut adalah elemen-elemen yang ada pada matriks risiko menurut ISO 31000 (2009): 1. Level of Risk – “Magnitude of a risk or combination of risks, expressed in terms of the combination of consequences and their likelihood”. Besarnya risiko atau kombinasi risiko, yang dinyatakan dalam kombinasi dari konsekuensi dan kemungkinan terjadinya. 2. Likelihood – “Chance of something happening”. Didalam
istilah
“likelihood”
manajemen
digunakan
risiko,
untuk
kata
menunjukan
kemungkinan sesuatu dapat terjadi, bisa saja didefinisikan,
diukur
atau
ditentukan
secara
objektif dan subjektif, maupun secara kuantitatif dan kualitatif (seperti probabilitas dan frekuensi). 3. Probability
–
“Measure
of the
chance
of
occurrence expressed as a number between 0 and 1, where 0 is impossibility and 1 is absolute certainty”.Mengukur kemungkinan terjadi yang dinyatakan dengan angka antara 0 sampai dengan 1, dimana 0 adalah tidak mungkin terjadi dan 1 adalah mutlak pasti terjadi. 4. Frequency – “Number of events or outcomes per defined unit of time”.Adalah angka terjadinya
21
sesuatu atau output yang muncul yang dinyatakan dengan periode waktu tertentu. 5. Consequence – “Outcome of an event affecting objective”. Sesuatu yang muncul didalam aktivitas atau kegiatan dan mempengaruhi tujuan dari kegiatan tersebut. Konsekuensi bisa saja pasti ada atau mungkin ada, juga dapat memiliki dampak yang positif ataupun negatif. Konsekuensi dapat dinyatakan secara kuantitatif ataupun kualitatif. Penulis juga mengambil referensi dari Peltier (2005: 24, 26, 173). Berikut adalah gambar matriks penilaian risiko contoh 1, sebagai berikut (Peltier, 2005: 24):
IMPACT
P R O B A B I L I T Y
High
Medium
Low
A
B
C
Medium
B
B
C
Low
C
C
D
High
A - Corrective action must be implemented B - Corrective action should be implemented C - Requires monitor D - No action required at this time
Gambar 2.3 Probability – impact matrix example 1 Sumber: (Peltier, 2005: 24)
22
Berikut adalah tabel definisi penjelasan Probability – impact matrix diatas, sebagai berikut(Peltier, 2005: 173):
Tabel 2.2 Probability Definitions Term Probability
Definition Chance that an event will occur or that a specific loss value may be attained should the event occur
High
Very likely that the threat will occur within the next year
Medium
Possible that the threat may occur within the next year
Low
Highly unlikely that the threat will occur within the next year Sumber : (Peltier, 2005: 173)
Tabel 2.3 Impact Definitions Term Impact
Definition A measure of the magnitude of loss or harm on the value of an asset
High
Entire mission or business impacted
Medium
Loss is limited to single business unit or objective
Low
Business as usual Sumber : (Peltier, 2005: 173)
2.8 Manajemen Risiko Menurut Peltier (2014: 21), “risk management is to identify risks, assess the likelihood of their occurring, and then take steps to reduce all risks to an acceptable level”. MenurutPeltier (2005: 8), “Risk management is the total cost to identify, control, and minimize theimpact of uncertain events. The objective of risk management is to reduce risk to an acceptable level”. Menurut ISO 31000 (2009), “risk management is a coordinated activities to direct and control an organization with regard to risk. Risk management framework set of components that provide the foundations and organizational arrangements for designing, implementing, monitoring,
23
reviewing and continually improving risk management throughout the organization Note 1 to entry: The foundations include the policy, objectives, mandate and commitment to manage risk. Note 2 to entry: The organizational arrangements include plans, relationships, accountabilities, resources, processes and activities. Note 3 to entry: The risk management framework is embedded within the organization's overall strategic and operational policies and practices”. Maka penulis mendefinisikan manajemen risiko menurut pengertian diatas adalah proses menanggapi ancaman dapat dilakukan dengan menerima, mengkontrol, meminimalisir, memindahkan dan menghindari risiko sampai ketingkat yang dapat diterima.
2.9 Mitigasi Risiko Menurut Peltier (2005: 38), “Risk mitigation is a systematic methodology used by senior management to reduce organizational risk”. Maka penulis mendefinisikan mitigasi risiko menurut pengertian diatas adalah sebuah metodologi sistematis yang digunakan untuk mengurangi risiko organisasi.
2.10 Penerapan ISO 31000:2009 ISO 31000:2009 merupakan salah satu prinsip dan panduan untuk membantu melakukan manajemen risiko yang dikeluarkan oleh International Standard Organization.Dengan menggunakan ISO 31000:2009 membantu dalam melakukan indentifikasi risiko, penilaian risiko, dan mengevaluasi risiko (ISO, 2009). ISO 31000:2009 terdiri dari tiga bagian utama yaitu establishing the context, risk assessment (risk identification, risk analysis, risk evaluation), dan risk treatment. Kemudian memiliki dua bagian pendukung yaitu communication and consultation dan monitoring and review.
24
Establishing the context (2.10.2) Risk Assessment (2.10.3) Communication
Monitoring
Risk identification (2.10.3.1)
and Consultation
and review
Risk analysis (2.10.3.2)
(2.10.1) Risk evaluation (2.10.3.3)
Risk treatment (2.10.4)
Gambar 2.4 Hubungan Antara Prinsip, Framework dan Proses Manajemen Risiko Sumber: (ISO 31000, 2009: 3)
2.10.1 Communication and Consultation “Communication and consultation continual and iterative processes that an organization conducts to provide, share or obtain information, and to engage in dialogue with stakeholders regarding the management of risk. Note 1 to entry: The information can relate to the existence, evaluation,
nature,
form, likelihood,
acceptability
and
significance,
treatment
of
the
management of risk.” (ISO, 2009). Proses komunikasi dan konsultasi yang berlanjut dan berulang dengan tujuan untuk mendapatkan, membagi, menemukan informasi
25
dan
mengikutsertakan
diskusi
dengan
stakeholders
mengenai
pengelolaan risiko.
2.10.2 Establishing the Context “Establishing the context defining the external and internal parameters to be taken into account when managing risk, and setting the scope and risk criteria for the risk management policy” (ISO, 2009). Establishing the context mendefinisikan parameter internal dan eksternal yang akan dimasukan atau diperhatikan ketika mengelola risiko dan menentukan lingkup dan kriteria risiko untuk kebijakan manajemen risiko.
2.10.3 Risk Assessment “Overall process of risk identification, risk analysis and risk evaluation” (ISO, 2009). Keseluruhan dari proses indentifikasi risiko, analisis risiko, dan evaluasi risiko. 2.10.3.1 Risk Identification “Process
of
finding,
recognizing
and
describing risks” (ISO, 2009). Proses menemukan, menyadari, dan mendeskripsikan risiko. Penyebab dan potensi konsekuensi termasuk dalam mengidentifikasi risiko.Identifikasi risiko dapat melibatkan data historis, analisis teoritis, informasi dan opini para ahli, dan kebutuhan stakeholder. 2.10.3.2 Risk Analysis “Process to comprehend the nature of risk and to determine the level of risk” (ISO, 2009). Proses untuk memahami sifat risiko dan menentukan tingkat risiko. Analisis risiko juga memberikan dasar untuk evaluasi risiko dan keputusan tentang perlakuan risiko. 2.10.3.3 Risk Evaluation “Process of comparing the results of risk analysis with risk the risk and/or
its
criteria to magnitude
determine is
whether
acceptable
or
26
tolerable” (ISO, 2009). Proses membandingkan hasil analisis risiko dengan kriteria risiko untuk menentukan apakah risiko atau juga besarnya risiko dapat diterima atau ditoleransi. Evaluasi risiko juga membantu pada saat menentukan keputusan tentang treatment risiko.
2.10.4 Risk Treatment “Process to modify risk” (ISO, 2009). Proses memodifikasi risiko termasuk menghindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan aktivitas yang menimbulkan risiko, mengambil atau menambah risiko dengan tujuan mengejar peluang, menghilangkan sumber risiko, mengubah kemungkinan terjadi, mengubah konsekuensinya, membagi risiko dengan pihak lain, tetap mengelola risiko dengan keputusan yang sudah diambil. Dalam melakukan treatment risiko dapat memunculkan risiko baru atau mengubah risiko yang sudah ada. 1. Control
–
“Measure
that
is
modifying risk” Pengendalian mencakup proses, kebijakan, penggunaan alat, praktek, atau tindakan lain yang memodifikasi risiko. 2. Risk Avoidance – “Informed decision not to be involved in, or to withdraw from, an activity in order not to be exposed to a particular risk”. Memutuskan untuk tidak terlibat dalam risiko, atau menarik diri dari risiko termasuk juga kegiatan tertentu yang dilakukan agar tidak terkena risiko. 3. Risk Sharing – “Form of risk treatment involving the agreed distribution of risk with other parties”. Pembagian risiko ke pihak lain dapat berupa pembelian asuransi atau dengan kontrak perjanjian. Sejauh mana risiko didistribusikan bergantung pada keandalan dan kejelasan di dalam perjanjian atau persetujuan. Pemindahan risiko adalah salah satu bentuk dari pembagian risiko.
27
4. Risk
Financing
–
“Form
of risk
treatment involving contingent arrangements for the provision of funds to meet or modify the financial consequences should they occur”. Bentuk perlakuan risiko yang melibatkan pengaturan bagian sehubungan dengan penyediaan dana untuk memenuhi
atau
memodifikasi
konsekuensi
keuangan yang mungkin terjadi. 5. Risk Retention – “Acceptance of the potential benefit of gain, or burden of loss, from a particular risk”. Dengan menerima residual risk termasuk dalam risk retention. Tingkat menerima risiko bergantung pada kriteria yang ditentukan.
2.11 Unified Modeling Language (UML) Menurut Satzinger, Jackson dan Burd (2012: 46), “UML is the standard set of model constructs and notations defined by the Object Management Group (OMG), a standards organization for system development”. Maka penulis mendefinisikan UML menurut pengertian diatas adalah bahasa berupa gambar, tabel atau diagram yangakan digunakan untuk pengembangan sistem agar lebih mudah dimengerti dan diterjemahkan.
2.10.1 Activity Diagram Menurut Satzinger, Jackson dan Burd (2012: 57),“ activity diagram describes the various user (or system) activities, the person who does each activity, and the sequential flow of these activities”. Maka penulis mendefinisikan menurut pengertian diatas adalah diagram yang menggambarkan alur aktivitas dan penggunanya atau sistem dalam melakukan aktivitas secara berurutan.
28
2.10.2 Use Case Menurut Satzinger, Jackson dan Burd (2012: 69),“ A use case is an activity the system performs, usually in response to a request by a user”. Maka penulis mendefinisikan use case menurut pengertian diatas adalah gambaran yang bertujuan untuk mengetahui aktivitas pada sistem dan siapakah penggunanya.
2.10.3 Use Case Description Menurut Satzinger, Jackson dan Burd (2010: 171), “Use case description a textual model that lists and describes the processing details for a use case”. Maka penulis mendefinisikan Use case description menurut pengertian diatas adalahmodel tekstual yang berisi daftar dan menjelaskan rincian proses untuk use case.
2.10.4 Class diagram Menurut Satzinger, Jackson dan Burd (2012: 101), “class diagram is used to show classes of objects for a system”. Maka penulis mendefinisikan class diagram menurut pengertian diatas adalah diagram yang digunakan untuk menggambarkan objek-objek dari kelas-kelas untuk sistem biasanya untuk penyimpanan data.
2.10.5 Event Table Menurut Satzinger, Jackson dan Burd (2010: 168), “event table includes rows and columns, representing events and their details, respectively”. Maka penulis mendefinisikan Event table menurut pengertian diatas adalah tabel yang berisi baris dan kolom yang
menggambarkan
rinciannya.
kejadian,
pemicunya
dan
juga
29
2.10.6 Storyboard Menurut Satzinger, Jackson dan Burd (2012: 200), “storyboarding—that is, showing a sequence of sketches of the display screen during a dialog”. Maka penulis mendefinisikan storyboard menurut pengertian diatas adalah tampilan sketsa secara berurutan selama percakapan.
2.11Previous Study Berikut adalah penulisan karya ilmiah sebelumnya sudah pernah dilakukan yang memiliki keterkaitan dengan penulisan tugas akhir penulis : 2.11.1 Previous Study 1 – Previous Study Terkait Penggunaan Matriks Penilaian Risiko Berdasarkan jurnal yang ditulis oleh Mikulecky (2008),
dengan
judul
“Operational
Risks
Measurement” penulis dapat melihat kesimpulan dari penulisan sebelumnya membahas pengukuran risiko operasional
dengan
menggunakan
matriks
yang
compliance dengan ISO/IEC 27001. Pengukuran risiko operasional terbagi menjadi dua proses yaitu untuk mengukur nilai dari risiko operasional
dan
mengukur
tingkatan
dari
penanggulangan risiko operasional. Adapun landasan dari pengukuran risiko operasional untuk menerapkan metodologi yang konsisten dan transparan antara metodologi yang berbeda. Hal ini dibutuhkan untuk mengembangkan matriks yang dapat dipahami dengan mudah dan cepat dalam melakukan penentuan tingkatan risiko baik itu risiko yang tinggi maupun risiko rendah. Dengan adanya matriks tersebut dapat membantu untuk memberikan respon yang sesuai dari risiko yang ada.
30
Adapun respon yang diberikan oleh penulis setelah melakukan analisis pada penulisan sebelumnya terbagi menjadi tiga bagian yaitu accepted, treated atau avoided. Dan
ada
juga
alasan
penulis
ingin
menggunakan matriks adalah berdasarkan salah satu kesimpulan yang ditulis oleh Mikulecky matriks membantu dalam melakukan penentuan tingkatan risiko baik itu risiko yang tinggi maupun risiko rendah serta dapat membantu dalam memberikan respon yang sesuai dengan tingkatan risiko tersebut.
2.11.2 Previous Study 2 – Previous Study Terkait Penerapan ISO 31000:2009 oleh Ayuningtyas Setia Budi Dengan melihat jurnal yang telah dibuat oleh Ayuningtyas Setia Budi maka penulis dapat melihat kesimpulan yang telah didapat oleh Ayuningtyas Setia Budi dari jurnalnya yang berjudul “Analisis Risk Management Berbasis ISO 31000 Untuk Mengurangi Wanprestasi Kontrak Pada CV. Putra Pertama di Surabaya” maka membantu
dengan adanya manajemen risiko
perusahaan
untuk
mengidentifikasi,
mencegah, dan menanggulangi risiko-risiko yang mungkin terjadi di perusahaan khususnya pada siklus pendapatan serta mengoptimalkan strategi manajemen, mengamankan sumber daya dan asset yang dimiliki perusahaan. Untuk melakukan manajemen risiko maka dapat digunakan sebuah
metodologi
yaitu ISO
31000:2009 (Budi, 2014: 2). Dan
ada
juga
alasan
penulis
ingin
menggunakan ISO 31000:2009 adalah berdasarkan salah satu kesimpulan dari jurnal yang ditulis oleh Ayuningtyas Setia Budi yaitu menggunakan ISO 31000:2009 karena mudah diaplikasikan dan tidak
31
dibuat spesifik untuk jenis perusahaan atau industri tertentu saja, maka dari itu ISO 31000:2009 lebih mudah disesuaikan dengan semua aktivitas atau kegiatan operasional yang ada di perusahaan (Budi, 2014: 6)
32
