7 

BAB 2

LANDASAN TEORI

2.1 Evaluasi

Menurut Umar (2005, p36), evaluasi adalah suatu proses untuk menyediakan

informasi tentang sejauhmana suatu kegiatan tertentu telah dicapai, bagaimana

perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah

ada selisih diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu

bila dibandingkan dengan harapan-harapan yang ingin diperoleh.

Menurut Akmal (2009, p9) evaluasi adalah penilaian tentang bagaimana

program dijalankan, apakah proses dan dampaknya sudah sesuai dengan yang

diharapkan, serta mengecek faktor-faktor penghambat yang dihadapi, dan faktor-

faktor pendukung yang dimiliki, untuk mencapai tujuan.

Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa evaluasi

merupakan suatu penilaian efektifitas atas kegiatan yang ada apakah sudah sesuai

dengan standar yang telah ditetapkan atau tidak.

2.2 Pengendalian Internal

2.2.1 Pengertian Pengendalian Internal

Menurut Gondodiyoto (2007, p255) Pengendalian Internal atau

Internal Control merupakan keseluruhan mekanisme yang merupakan bagian

8  

integral dari sistem dan prosedur kerja suatu organisasi, dan disusun

sedemikian rupa untuk menjamin bahwa pelaksanaan kegiatan organisasi

sudah sesuai dengan yang seharusnya.

Menurut Rama dan Jones (2009, p132) Pengendalian Internal atau

Internal Control merupakan suatu proses yang dipengaruhi oleh dewan

direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk

memberikan kepastian yang beralasan terkait dengan pencapaian sasaran

kategori sebagai berikut : efektivitas dan efesiensi operasi, kendala pelaporan

keuangan, dan ketaatan terhadap hukum dan peraturan yang berlaku.

Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa

pengendalian internal adalah proses pengendalian yang dilakukan oleh pihak-

pihak yang terkait (internal perusahaan) terhadap kinerja perusahaan agar

sesuai dengan tujuan.

2.2.2 Tujuan Pengendalian Internal

Menurut Gondodiyoto (2007, p260) tujuan disusunnya pengendalian internal

komputerisasi adalah untuk :

a. Meningkatkan pengamanan (improved safeguard) aset sistem informasi

(data/catatan akuntansi) yang bersifat logical assets, maupun physical

assets seperti hardware, infrastructure, dan sebagainya.

9  

b. Meningkatkan integritas data (improve data integrity), sehingga dengan

data yang benar dan konsisten akan dapat dibuat laporan yang benar.

c. Meningkatkan efektivitas sistem (improve system effectiveness).

d. Meningkatkan efisiensi sistem (improve system efficiency).

2.2.3 Faktor Penyebab Berkembangnya Pengendalian Internal

Menurut Gondodiyoto (2007, p249), Faktor-faktor yang menyebabkan sistem

pengendalian internal berkembang adalah:

a. Perkembangan kegiatan dan skalanya menyebabkan kompleksitas struktur

sistem dan prosedur suatu organisasi makin rumit. Untuk dapat mengawasi

operasi organisasi, manajemen hanya mengandalkan kepercayaan atas

berbagai laporan dan analisa.

b. Tanggung jawab utama untuk melindungi aset organisasi, mencegah dan

menemukan kesalahan-kesalahan serta kecurangan-kecurangan yang

terletak pada management, sehingga management harus mengatur sistem

pengendalian intern yang sesuai untuk memenuhi tanggung jawab tersebut.

c. Pengawasan oleh dari satu orang (saling cek) merupakan cara yang tepat

untuk menutup kekurangan-kekurangan yang bisa terjadi pada manusia.

Saling cek ini merupakan salah satu karakteristik sistem pengendalian

intern yang baik.

10  

d. Pengawasan yang “built-in” langsung pada sistem berupa pengendalian

intern yang baik dianggap lebih tepat daripada pemeriksaan secara

langsung dan detail oleh pemeriksa (khususnya yang berasal dari luar

organisasi).

2.2.4 Sifat Sistem Pengendalian Internal

Menurut Gondodiyoto (2007, p250), ditinjau dari sifatnya sistem

pengendalian internal dapat dibedakan dalam berbagai segi pandang

pengelompokan :

1. Pengendalian internal digolongkan ke dalam preventive, detection dan

corrective

a. Preventive control, yaitu pengendalian internal yang dirancang

dengan maksud untuk mengurangi kemungkinan (mencegah

atau menjaga) jangan sampai terjadi kesalahan (kesalahan,

kekeliruan, error) maupun penyalahgunaan (kecurangan,

fraud).

b. Detection control, adalah pengendalian yang didesain dengan

tujuan apabila data direkam (dientry) atau dikonversi dari

media sumber (media input) untuk ditransfer ke sistem

komputer yang dapat dideteksi bila terjadi kesalahan.

c. Corrective control, adalah pengendalian yang sifatnya jika

terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh

detective error, atau data yang terdeteksi oleh program validasi,

11  

harus ada prosedur yang jelas tentang bagaimana melakukan

pembetulan terhadap data yang salah dengan maksud untuk

mengurangi kemungkinan kerugian kalau kesalahan

penyalahgunaan tersebut sudah benar terjadi.

2. Pengendalian internal digolongkan kedalam general control dan

application control

a. General control (pengendalian umum) adalah pengendalian

yang berlaku untuk seluruh kegiatan terkomputerisasi pada

suatu organisasi.

b. Application control (pengendalian aplikasi, pengendalian

khusus) adalah pengendalian yang dirancang khusus untuk

aplikasi tertentu.

2.2.5 Keterbatasan Sistem Pengendalian Internal

Menurut Gondodiyoto (2007, p253), sistem pengendalian internal juga

mempunyai keterbatasan-keterbatasan, antara lain sebagai berikut:

1. Persekongkolan (Kolusi)

Pengendalian internal mengusahakan agar persekongkolan dapat

dihindari sejauh mungkin, misalnya dengan mengharuskan giliran

bertugas, larangan dalam menjalankan tugas-tugas yang bertentangan

oleh mereka yang mempunyai hubungan kekeluargaan, keharusan

mengambil cuti dan seterusnya. Akan tetapi, pengendalian internal tidak

dapat menjamin bahwa persekongkolan tidak terjadi.

2. Perubahan

12  

Struktur pengendalian internal pada suatu organisasi harus selalu

diperbaharui sesuai dengan perkembangan kondisi dan teknologi.

3. Kelemahan Manusia

Banyak kebobolan terjadi pada sistem pengendalian internal yang secara

teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya

pelaksanaan yang dilakukan oleh personil yang bersangkutan. Oleh

karena itu, personil yang paham dan kompeten untuk menjalankannya

merupakan salah satu unsur terpenting dalam pengendalian internal.

4. Azas Biaya Manfaat

Pengendalian juga harus mempertimbangkan biaya dan kegunaannya.

Biaya untuk mengendalikan hal-hal tertentu mungkin melebihi

kegunaannya, atau manfaat tidak sebanding dengan biaya yang

dikeluarkan (cost-benefit analysis).

2.3 Sistem Informasi

Menurut Gondodiyoto (2007, p112) sistem informasi dapat didefinisikan

sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang

saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu

dan bertujuan untuk mengolah data menjadi informasi.

Menurut O’Brien (2006, p5), sistem informasi adalah kombinasi teratur apapun

dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data

yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah

organisasi.

13  

Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa sistem informasi

adalah kumpulan orang, hardware, software, jaringan komunikasi dan data yang

saling berhubungan yang membentuk suatu komponen untuk mengolah data menjadi

informasi yang didalamnya mencakup input-process-output yang berhubungan

dengan pengolaan informasi.

2.4 Audit Sistem Informasi

2.4.1 Pengertian Audit

Menurut Rai (2008, p29), Audit adalah kegiatan membandingkan suatu

kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi).

Menurut Gondodiyoto (2007, p447), Auditing adalah proses

pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan apakah

suatu sistem yang diperiksa telah mengamankan harta organisasi, memelihara

integritas data, mendukung pencapaian tujuan organisasi menjadi lebih efektif

dan telah menggunakan sumber daya secara efisien.

Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa audit

adalah kegiatan membandingkan sesuatu yang dilakukan oleh orang yang

berkompeten dan independen untuk memperoleh dan mengevaluasi bukti

secara obyektif mengenai pernyataan tentang kegiatan dan kejadian ekonomi,

dengan tujuan untuk menerapkan tingkat kesesuaian antara pernyataan-

14  

pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian

hasil-hasilnya kepada pemakai yang berkepentingan.

2.4.2 Pengertian Audit Sistem Informasi

Menurut Karya (2008), Audit sistem informasi didefinisikan sebagai

proses pengumpulan dan evaluasi fakta atau evidence untuk menentukan

apakah suatu sistem informasi telah melindungi aset, menjaga integritas data,

dan memungkinkan tujuan organisasi tercapai secara efektif dengan

menggunakan sumber daya secara efisien.

Menurut Gondodiyoto (2007, p60), Audit sistem informasi ialah

pemeriksaan terhadap aspek-aspek TI pada sistem informasi akuntansi. Audit

dilakukan sesuai dengan ketentuan standar profesional akuntan publik bahwa

auditor harus memahami sistem dan internal controls serta melakukan test

substantif.

Dari definisi diatas dapat ditarik kesimpulan bahwa audit sistem

informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan

mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi

berbasis komputer yang digunakan oleh organisasi telah dapat mencapai

tujuannya.

2.4.3 Jenis Audit

Menurut CISA Review manual (2005, pp36-37), jenis audit terbagi menjadi:

15  

1. Financial Audits – The purpose of a financial audit is to assess the correctness of

an organization’s financial statements. A financial audit will often involve

detailed, substantive testing. This kind of audit relate to information integrity and

reliability.

2. Operational audits – An operational audit is designed to evaluate the internal

control structure in a given process or area. IS audits of applications controls or

logical security systems are example of operational audits.

3. Integrated audits – An integrated audit combines both financial and operational

audit steps. It also performed to assess the overall objectives within an

organization, related to financial information and assets safeguarding, efficiency

and compliance. An integrated audit can be performed by external or internal

auditors and would include both compliance test of internal controls and

substantive audit steps.

4. Administrative audits –These are oriented to assess issues related to the

efficiency of operational productivity within an organization.

5. Information systems audits – This process collects and evaluates evidence to

determine whether the information systems and related resources adequately

safeguard assets, maintain data and system integrity, provide relevant and

reliable information, achieve organizational goals effectively, consume resources

efficiently, and have in effect internal controls that provide reasonable assurance

that business, operational and control objective will be met and that undesired

events will be prevented or detected and corrected in a timely manner.

6. Specialized audits – within the category of information systems audits, there are

a number of specialized reviews that examine areas such as service performed by

16  

third parties and forensic auditing. Businesses are becoming increasingly

reliant on third party service providers, it is important that internal controls be

evaluated in these environments.

7. Forensic audits – Traditionally, forensic auditing has been defined as an audit

specialized in discovering, disclosing and following up on frauds and crimes.

The primary purpose of such a review was the development of evidence for

review by law enforcement and judicial authorities. In recent years, the forensic

professional has been called upon to participate in investigations related to

corporate fraud and cyber crime.

Jenis audit diatas dapat diterjemahkan sebagai berikut:

1. Audit Keuangan - Tujuan dari audit keuangan adalah untuk menilai kebenaran

dari laporan keuangan organisasi. Sebuah audit keuangan seringkali memerlukan

perincian, pengujian substantif. Audit semacam ini berhubungan dengan

integritas informasi dan kehandalan.

2. Audit Operasional - Audit operasional dirancang untuk mengevaluasi struktur

pengendalian internal dalam sebuah proses atau bidang. IS audit kontrol aplikasi

atau sistem keamanan logis adalah contoh dari audit operasional.

3. Audit Terpadu - Audit terintegrasi menggabungkan kedua langkah audit

keuangan dan operasional. Hal ini juga dilakukan untuk menilai tujuan secara

keseluruhan dalam suatu organisasi, yang berhubungan dengan informasi

keuangan dan menjaga aset, efisiensi dan kepatuhan. Sebuah audit terpadu dapat

17  

dilakukan oleh auditor eksternal atau internal dan akan mencakup kedua uji

kepatuhan pengendalian internal dan langkah audit yang substantif.

4. Audit Administrasi - Audit ini berorientasi untuk menilai isu-isu terkait dengan

efisiensi produktivitas operasional dalam suatu organisasi.

5. Audit Sistem Informasi - Proses ini mengumpulkan dan mengevaluasi bukti-

bukti untuk menentukan apakah sistem informasi dan sumber daya terkait

memadai menjaga aset, memelihara integritas data dan sistem, memberikan

informasi yang relevan dan dapat diandalkan, mencapai tujuan organisasi secara

efektif, mengkonsumsi sumber daya secara efisien, dan memiliki efek internal

pada kontrol yang memberikan jaminan yang wajar bahwa bisnis, operasional

dan tujuan kontrol akan dipenuhi dan bahwa peristiwa yang tidak diinginkan

akan dicegah atau dideteksi dan dikoreksi pada waktu yang tepat.

6. Audit Khusus - dalam kategori audit sistem informasi, ada sejumlah tinjauan

khusus yang meneliti bidang-bidang seperti pelayanan yang dilakukan oleh pihak

ketiga dan audit forensik. Bisnis menjadi semakin bergantung pada penyedia

layanan pihak ketiga, adalah penting bahwa kontrol internal dievaluasi dalam

lingkungan ini.

7. Audit Forensik - Secara tradisional, audit forensik telah didefinisikan sebagai

audit khusus dalam menemukan, mengungkapkan dan menindaklanjuti penipuan

dan kejahatan. Tujuan utama dari tinjauan tersebut adalah pengembangan bukti

untuk diperiksa oleh penegak hukum dan kekuasaan kehakiman. Dalam beberapa

tahun terakhir, profesional forensik telah dipanggil untuk berpartisipasi dalam

penyelidikan terkait dengan penipuan perusahaan dan kejahatan cyber.

18  

2.4.4 Tujuan Audit

Berdasarkan pendapat Gondodiyoto (2007, p474), tujuan dari audit

sistem informasi adalah sebagai berikut :

1. Pengamanan aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware),

perangkat lunak (software), sumber daya, manusia, file data dan fasilitas

lain harus dijaga dengan sistem pengendalian internal yang baik agar tidak

terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem

pengamanan aset merupakan suatu hal yang sangat penting yang harus

dipenuhi oleh perusahaan.

2. Efektivitas sistem

Efektivitas sistem informasi perusahaan memiliki peranan penting dalam

proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan

efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing

the right thing), telah sesuai dengan kebutuhan pengguna. Informasi yang

dibutuhkan oleh para manajer dipenuhi dengan baik.

3. Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas.

Jika cara kerja dari sistem aplikasi komputer menurun maka pihak

manajemen harus mengevaluasi apakah efisiensi sistem masih memadai

atau harus menambah sumber daya, karena suatu sistem dikatakan efisien

jika sistem informasi dapat memenuhi kebutuhan pengguna dengan sumber

daya informasi yang minimal. Cara sistem kerja benar (doing thing right).

19  

4. Ketersediaan (Availability)

Berhubungan dengan ketersediaan dukungan atau layanan teknologi

informasi (TI). TI hendaknya dapat mendukung secara continue terhadap

proses bisnis (kegiatan perusahaan). Makin sering terjadi gangguan (system

down), maka berarti tingkat ketersediaan sistem rendah.

5. Kerahasiaan (Confidentiality)

Fokusnya adalah pada proteksi terhadap informasi dan supaya terlindungi

dari akses pihak-pihak yang tidak berwenang.

6. Kehandalan (Reliability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam

pengelolaan organisasi, pelaporan dan pertanggungjawaban.

7. Menjaga Integritas data

Integritas data (data integrity) adalah salah satu konsep dasar dari sistem

informasi. Data memiliki atribut-atribut seperti : kelengkapan, kebenaran

dan keakuratan.

2.4.5 Pendekatan Audit Sistem Informasi

Menurut Gondodiyoto (2007, pp451-453) metode audit sistem informasi

meliputi :

1. Auditing around the computer

Dalam pedekatan audit di sekitar komputer, auditor (dalam hal ini harus

akuntan yang registered, dan bersertifikasi akuntan publik) dapat

mengambil kesimpulan dan merumuskan opini dengan hanya menelaah

20  

struktur pengendalian dan melaksanakan pengujian transaksi dan

prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem

akuntansi manual. Auditor tidak perlu menguji pengendalian sistem

informasi berbasis teknologi informasi klien (file program atau

pengendalian atas file atau data di komputer) melainkan cukup terhadap

input serta output sistem aplikasi saja. Sistem komputerisasi dianggap

sebagai blackbox (sesuatu yang diketahui fungsinya, tapi tidak perlu

diperiksa bagaimana kinerjanya).

2. Auditing through the computer

Dalam pendekatan audit ke sistem komputer, auditor melakukan

pemeriksaan langsung terhadap program-program dan file-file komputer

pada audit SI berbasis TI. Auditor menggunakan komputer atau dengan

pengecekan logika atau listing program (desk test on logic or program

source code) untuk menguji logika program dalam rangka pengujian

pengendalian yang ada pada komputer. Selain itu auditor juga dapat

meminta penjelasan dari para teknisi komputer mengenai spesifikasi

sistem dan atau program yang diaudit.

3. Auditing with the computer

Pada pendekatan ini, audit dilakukan dengan menggunakan komputer

dan software untuk mengotomatisasi prosedur pelaksanaan audit.

Pendekatan ini dapat menggunakan beberapa computer assisted audit

21  

techniques, misalnya system control audit review file (SCARF), snapshot

dan sebagainya. Pendekatan audit dengan bantuan komputer merupakan

cara yang sangat bermanfaat, khususnya dalam pengujian substantif atas

file dan record perusahaan.

2.5 Service

2.5.1 Pengertian Service

Menurut Lupiyoadi (2001, p5) pengertian jasa adalah:

“A service is an activity or series of activities of more or less intangible nature

that normally, hut not necessarile, take place in interactions between the

customer and service employees and/or physical resources or good ard/or

system of the service provider, which are provided as solutions to customer

problems”. Artinya : Sebuah layanan adalah kegiatan atau serangkaian

kegiatan yang biasanya tidak berwujud, tetapi tidak selalu berinteraksi

langsung antara pelanggan dan karyawan jasa baik sumber daya fisik maupun

sistem penyedia layanan, yang diberikan sebagai solusi untuk masalah

pelanggan. (http://jurnal-sdm.blogspot.com/2009/04/produk-jasa-pengertian-

karakteristik.html)

Menurut Lovelock dan Wirtz (2007, p15), Service are economic activities

offered by on party to another, most commonly employing time-based

performance to bring about desired results in recipients themselves or in

objects or other assets for which purchasers have responsibility. Artinya :

Service adalah kegiatan ekonomi yang ditawarkan oleh suatu pihak kepada

22  

pihak lain, sering menggunakan kinerja yang berbasis waktu untuk membawa

hasil yang diinginkan oleh penerima atau benda atau aset lainnya yang

memiliki tanggung jawab dari pembeli.

Dari definisi diatas dapat ditarik kesimpulan bahwa service adalah setiap

tindakan atau kegiatan yang dapat ditawarkan oleh satu pihak kepada pihak

lain, yang pada dasarnya tidak berwujud dan tidak mengakibatkan kepemilikan

apapun.

2.5.2 Karakteristik Service

Menurut Kotler dan Amstrong (2006, pp45-48) secara umum service

mempunyai 4 karakteristik pokok yang membedakannya dengan barang yaitu :

1. Tidak berwujud (intangible)

Jasa tidak bisa dilihat, dicicipi, dirasakan, didengar, dan dibaui sebelum

dibeli. Misalnya : orang yang menjalani operasi wajah tidak dapat melihat

hasilnya yang sesungguhnya sebelum ia membeli jasa tersebut.

2. Tidak dapat dipisahkan (inseparibility)

Biasanya jasa dihasilkan dan dikonsumsi secara bersamaan. Hal ini tidak

berlaku bagi barang-barang fisik yang diproduksi, disimpan sebagai

persediaan, didistribusikan melalui banyak penjual, dan dikonsumsi

kemudian. Jika seseorang memberikan jasa tersebut, penyedianya adalah

bagian dari jasa itu.

3. Bervariasi (variability)

23  

Karena bergantung pada siapa memberikannya serta kapan dan dimana

diberikan, jasa sangat bervariasi. Contohnya, beberapa dokter memiliki

keramahan sangat baik dengan pasiennya, yang lain kurang sabar dengan

pasien-pasiennya.

4. Tidak tahan lama atau mudah lenyap (perishability)

Jasa tidak dapat disimpan. Sifat jasa yang mudah rusak (perishability)

tersebut tidak akan menjadi masalah apabila permintaan tetap berjalan

lancar. Misalnya : perusahaan-perusahaan angkutan umum harus memiliki

jauh lebih banyak perlengkapan karena permintaan jam-jam sibuk,

dibandingkan dengan andai kata permintaan merata sepanjang hari.

2.6 Metodologi Pengumpulan Data

2.6.1 Wawancara

Menurut Nazir (2005, p193-194), wawancara adalah proses

memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab,

sambil bertatap muka antara si penanya atau pewawancara dengan si

penjawab atau responden dengan menggunakan alat yang dinamakan

interview guide (panduan wawancara).

Menurut Gondodiyoto (2007, p598), wawancara merupakan teknik

pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee

untuk memperoleh bahan bukti audit.

24  

Jadi dapat disimpulkan bahwa pengertian wawancara adalah

percakapan antara dua orang atau lebih yang berlangsung antara narasumber

dan pewawancara yang bertujuan untuk mendapatkan informasi.

2.6.2 Obervasi

Menurut Nazir (2005, p175), Pengumpulan data dengan observasi

langsung atau dengan pengamatan langsung adalah cara pengambilan data

dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk

keperluan tersebut.

Menurut Gondodiyoto (2007, p596), observasi atau pengamatan

adalah cara memeriksa dengan menggunakan panca indera terutama mata,

yang dilakukan secara continue selama kurun waktu tertentu untuk

memberikan sesuatu keadaan atau masalah.

Jadi dapat disimpulkan bahwa observasi adalah proses pengamatan

langsung secara sistematik yang bertujuan untuk mendapatkan data tanpa

menggunakan alat.

2.7 CoBIT

2.7.1 Pengertian COBIT

Menurut Gondodiyoto (2007, pp276), CoBIT adalah sekumpulan

dokumentasi best practices untuk IT Governance yang dapat membantu

auditor, pengguna (user) dan manajemen, untuk menjembatani gap antara

resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. CoBIT

25  

bermanfaat bagi auditor karena merupakan teknik yang membantu dalam

mengidentifikasi Information Technology Control Issue. CoBIT berguna

bagi para information technology users karena memperoleh keyakinan atas

sistem aplikasi yang digunakan. Sedangkan para manajer memperoleh

manfaat dalam keputusan investasi dibidang teknologi informasi serta

infrastrukturnya, menyusun rencana teknologi informasi, menentukan

arsitektur informasi dan keputusan atas procurement (pengadaan atau

pembelian) mesin.

2.7.2 Kerangka Kerja CoBIT

Menurut Gondodiyoto (2007, p279) Kerangka Kerja CoBIT terdiri

atas beberapa arahan (Guidelines), yakni :

1) Control Objectives

Control Objectives terdiri dari empat unsur utama, yaitu :

a) Perencanaan dan organisasi (Planning and Organization)

Yaitu mencakup pembahasan mengenai identifikasi dan strategi

investasi teknologi informasi yang dapat memberikan yang terbaik

untuk mendukung pencapaian tujuan bisnis. Selanjutnya

identifikasi dan visi strategis perlu direncanakan, dikomunikasikan

dan diatur pelaksanaannya (dari berbagai perspektif).

b) Pengakuisisi dan Implementasi (Acquisition and Implementasion)

Yaitu untuk merealisisasi strategi teknologi informasi, perlu diatur

kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau

diimplementasikan secara terpadu dalam proses bisnis perusahaan.

26  

c) Penyerahan dan Pendukung (Delivery and Support)

Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan

teknologi informasi kegiatan terhadap kegiatan operasional bisnis

(tingkat jasa layanan teknologi informasi actual atau service level)

dan aspek urutan (prioritas implementasi dan dukungannya).

d) Memantau dan Mengevaluasi (Monitoring and Evaluate)

Semua proses teknologi informasi yang perlu dinilai secara berkala

agar kualitas dan tujuan teknologi informasi tercapai, dan

kelengkapannya berdasarkan pada syarat pengendalian internal

yang baik.

2) Audit Guidelines

Berisi sebanyak tiga ratus delapan belas tujuan pengendalian rinci

(detail control objective) untuk membantu para auditor dalam

memberikan management assurance dan atau saran perbaikan.

3) Management Guidelines

Berisi arahan baik secara umum maupun spesifik, mengenai apa saja

yang harus dilakukan.

2.7.3 Kriteria kerja CobIT

Menurut Gondodiyoto (2007,p277), kriteria kerja CobIT meliputi:

Tabel 2.1 Kriteria Kerja CobIT

27  

Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan

dengan proses bisnis seperti penyampaian informasi dengan

benar, konsisten, dapat dipercaya dan tepat waktu.

Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan

sumber daya yang optimal.

Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari

orang yang tidak memiliki hak otorisasi.

Integritas Berhubungan dengan keakuratan dan kelengkapan informasi

sebagai kebenaran yang sesuai dengan harapan dan nilai

bisnis.

Ketersediaan Berhubungan dengan informasi yang tersedia ketika

diperlukan dalam proses bisnis sekarang dan yang akan

datang.

Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian

untuk proses bisnis.

Keakuratan

Informasi

Berhubungan dengan ketentuan kecocokan informasi untuk

manajemen mengoperasikan entitas dan mengatur pelatihan

keuangan dan kelengkapan laporan tanggung jawaban.

2.7.4 Domain CobIT

28  

Tabel 2.2 Domain & High Controls CobIT

CobIT Domain High Level Objectives

1. Plan and Organize 1. Define a strategic IT Plan and direction

2. Define the information architecture

3. Determine technological direction

4. Define IT processes, organization and relationship

5. Manage the IT investment

6. Communicate management aim and direction

7. Manage IT human resources

8. Manage Quality

9. Assess and manage IT risks

10. Manage projects

2. Acquire and

Implement

1. Identify automated solutions

2. Acquire and maintain application software

3. Acquire and maintain technology infrastructure

4. Enable operation and use

5. Procure IT resources

29  

6. Manage Changes

7. Instal and accredit solutions and changes

3. Deliver and

support

1. Define and manage service levels

2. Manage third-party services

3. Manage performance and capacity

4. Ensure continuous service

5. Ensure systems security

6. Identify and allocate costs

7. Educate and train users

8. Manage service desk and incidents

9. Manage the configuration

10. Manage problems

11. Manage data

12. Manage the physical environment

13. Manage operations

4. Monitor and

Evaluate

1. Monitor and evaluate IT processes

2. Monitor and evaluate internal control

30  

3. Ensure regulatory compliance

4. Provide IT Governance

Sumber : Gondodiyoto (2007, p282)

31  

Gambar 2.1 CobIT Processes Defined Within The Four Domains

Sumber : ITGI – CobIT 4.1th edition (2007,p26)

32  

CobIT diharapkan dapat membantu menemukan berbagai macam

kebutuhan manajemen berkaitan dengan teknologi informasi, membantu

mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran

(kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat

diterapkan dan diterima sebagai standar keamanan teknologi informasi dan

praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan

dan memantau tingkatan yang sesuai dengan keamanan dan kendali

organisasi mereka.