bab 2 landasan teori - library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2/2012-1-00348-ka...
TRANSCRIPT
7
BAB 2
LANDASAN TEORI
2.1 Evaluasi
Menurut Umar (2005, p36), evaluasi adalah suatu proses untuk menyediakan
informasi tentang sejauhmana suatu kegiatan tertentu telah dicapai, bagaimana
perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah
ada selisih diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu
bila dibandingkan dengan harapan-harapan yang ingin diperoleh.
Menurut Akmal (2009, p9) evaluasi adalah penilaian tentang bagaimana
program dijalankan, apakah proses dan dampaknya sudah sesuai dengan yang
diharapkan, serta mengecek faktor-faktor penghambat yang dihadapi, dan faktor-
faktor pendukung yang dimiliki, untuk mencapai tujuan.
Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa evaluasi
merupakan suatu penilaian efektifitas atas kegiatan yang ada apakah sudah sesuai
dengan standar yang telah ditetapkan atau tidak.
2.2 Pengendalian Internal
2.2.1 Pengertian Pengendalian Internal
Menurut Gondodiyoto (2007, p255) Pengendalian Internal atau
Internal Control merupakan keseluruhan mekanisme yang merupakan bagian
8
integral dari sistem dan prosedur kerja suatu organisasi, dan disusun
sedemikian rupa untuk menjamin bahwa pelaksanaan kegiatan organisasi
sudah sesuai dengan yang seharusnya.
Menurut Rama dan Jones (2009, p132) Pengendalian Internal atau
Internal Control merupakan suatu proses yang dipengaruhi oleh dewan
direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk
memberikan kepastian yang beralasan terkait dengan pencapaian sasaran
kategori sebagai berikut : efektivitas dan efesiensi operasi, kendala pelaporan
keuangan, dan ketaatan terhadap hukum dan peraturan yang berlaku.
Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa
pengendalian internal adalah proses pengendalian yang dilakukan oleh pihak-
pihak yang terkait (internal perusahaan) terhadap kinerja perusahaan agar
sesuai dengan tujuan.
2.2.2 Tujuan Pengendalian Internal
Menurut Gondodiyoto (2007, p260) tujuan disusunnya pengendalian internal
komputerisasi adalah untuk :
a. Meningkatkan pengamanan (improved safeguard) aset sistem informasi
(data/catatan akuntansi) yang bersifat logical assets, maupun physical
assets seperti hardware, infrastructure, dan sebagainya.
9
b. Meningkatkan integritas data (improve data integrity), sehingga dengan
data yang benar dan konsisten akan dapat dibuat laporan yang benar.
c. Meningkatkan efektivitas sistem (improve system effectiveness).
d. Meningkatkan efisiensi sistem (improve system efficiency).
2.2.3 Faktor Penyebab Berkembangnya Pengendalian Internal
Menurut Gondodiyoto (2007, p249), Faktor-faktor yang menyebabkan sistem
pengendalian internal berkembang adalah:
a. Perkembangan kegiatan dan skalanya menyebabkan kompleksitas struktur
sistem dan prosedur suatu organisasi makin rumit. Untuk dapat mengawasi
operasi organisasi, manajemen hanya mengandalkan kepercayaan atas
berbagai laporan dan analisa.
b. Tanggung jawab utama untuk melindungi aset organisasi, mencegah dan
menemukan kesalahan-kesalahan serta kecurangan-kecurangan yang
terletak pada management, sehingga management harus mengatur sistem
pengendalian intern yang sesuai untuk memenuhi tanggung jawab tersebut.
c. Pengawasan oleh dari satu orang (saling cek) merupakan cara yang tepat
untuk menutup kekurangan-kekurangan yang bisa terjadi pada manusia.
Saling cek ini merupakan salah satu karakteristik sistem pengendalian
intern yang baik.
10
d. Pengawasan yang “built-in” langsung pada sistem berupa pengendalian
intern yang baik dianggap lebih tepat daripada pemeriksaan secara
langsung dan detail oleh pemeriksa (khususnya yang berasal dari luar
organisasi).
2.2.4 Sifat Sistem Pengendalian Internal
Menurut Gondodiyoto (2007, p250), ditinjau dari sifatnya sistem
pengendalian internal dapat dibedakan dalam berbagai segi pandang
pengelompokan :
1. Pengendalian internal digolongkan ke dalam preventive, detection dan
corrective
a. Preventive control, yaitu pengendalian internal yang dirancang
dengan maksud untuk mengurangi kemungkinan (mencegah
atau menjaga) jangan sampai terjadi kesalahan (kesalahan,
kekeliruan, error) maupun penyalahgunaan (kecurangan,
fraud).
b. Detection control, adalah pengendalian yang didesain dengan
tujuan apabila data direkam (dientry) atau dikonversi dari
media sumber (media input) untuk ditransfer ke sistem
komputer yang dapat dideteksi bila terjadi kesalahan.
c. Corrective control, adalah pengendalian yang sifatnya jika
terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh
detective error, atau data yang terdeteksi oleh program validasi,
11
harus ada prosedur yang jelas tentang bagaimana melakukan
pembetulan terhadap data yang salah dengan maksud untuk
mengurangi kemungkinan kerugian kalau kesalahan
penyalahgunaan tersebut sudah benar terjadi.
2. Pengendalian internal digolongkan kedalam general control dan
application control
a. General control (pengendalian umum) adalah pengendalian
yang berlaku untuk seluruh kegiatan terkomputerisasi pada
suatu organisasi.
b. Application control (pengendalian aplikasi, pengendalian
khusus) adalah pengendalian yang dirancang khusus untuk
aplikasi tertentu.
2.2.5 Keterbatasan Sistem Pengendalian Internal
Menurut Gondodiyoto (2007, p253), sistem pengendalian internal juga
mempunyai keterbatasan-keterbatasan, antara lain sebagai berikut:
1. Persekongkolan (Kolusi)
Pengendalian internal mengusahakan agar persekongkolan dapat
dihindari sejauh mungkin, misalnya dengan mengharuskan giliran
bertugas, larangan dalam menjalankan tugas-tugas yang bertentangan
oleh mereka yang mempunyai hubungan kekeluargaan, keharusan
mengambil cuti dan seterusnya. Akan tetapi, pengendalian internal tidak
dapat menjamin bahwa persekongkolan tidak terjadi.
2. Perubahan
12
Struktur pengendalian internal pada suatu organisasi harus selalu
diperbaharui sesuai dengan perkembangan kondisi dan teknologi.
3. Kelemahan Manusia
Banyak kebobolan terjadi pada sistem pengendalian internal yang secara
teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya
pelaksanaan yang dilakukan oleh personil yang bersangkutan. Oleh
karena itu, personil yang paham dan kompeten untuk menjalankannya
merupakan salah satu unsur terpenting dalam pengendalian internal.
4. Azas Biaya Manfaat
Pengendalian juga harus mempertimbangkan biaya dan kegunaannya.
Biaya untuk mengendalikan hal-hal tertentu mungkin melebihi
kegunaannya, atau manfaat tidak sebanding dengan biaya yang
dikeluarkan (cost-benefit analysis).
2.3 Sistem Informasi
Menurut Gondodiyoto (2007, p112) sistem informasi dapat didefinisikan
sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang
saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarkis tertentu
dan bertujuan untuk mengolah data menjadi informasi.
Menurut O’Brien (2006, p5), sistem informasi adalah kombinasi teratur apapun
dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data
yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah
organisasi.
13
Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa sistem informasi
adalah kumpulan orang, hardware, software, jaringan komunikasi dan data yang
saling berhubungan yang membentuk suatu komponen untuk mengolah data menjadi
informasi yang didalamnya mencakup input-process-output yang berhubungan
dengan pengolaan informasi.
2.4 Audit Sistem Informasi
2.4.1 Pengertian Audit
Menurut Rai (2008, p29), Audit adalah kegiatan membandingkan suatu
kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi).
Menurut Gondodiyoto (2007, p447), Auditing adalah proses
pengumpulan dan evaluasi terhadap bukti-bukti untuk menentukan apakah
suatu sistem yang diperiksa telah mengamankan harta organisasi, memelihara
integritas data, mendukung pencapaian tujuan organisasi menjadi lebih efektif
dan telah menggunakan sumber daya secara efisien.
Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa audit
adalah kegiatan membandingkan sesuatu yang dilakukan oleh orang yang
berkompeten dan independen untuk memperoleh dan mengevaluasi bukti
secara obyektif mengenai pernyataan tentang kegiatan dan kejadian ekonomi,
dengan tujuan untuk menerapkan tingkat kesesuaian antara pernyataan-
14
pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian
hasil-hasilnya kepada pemakai yang berkepentingan.
2.4.2 Pengertian Audit Sistem Informasi
Menurut Karya (2008), Audit sistem informasi didefinisikan sebagai
proses pengumpulan dan evaluasi fakta atau evidence untuk menentukan
apakah suatu sistem informasi telah melindungi aset, menjaga integritas data,
dan memungkinkan tujuan organisasi tercapai secara efektif dengan
menggunakan sumber daya secara efisien.
Menurut Gondodiyoto (2007, p60), Audit sistem informasi ialah
pemeriksaan terhadap aspek-aspek TI pada sistem informasi akuntansi. Audit
dilakukan sesuai dengan ketentuan standar profesional akuntan publik bahwa
auditor harus memahami sistem dan internal controls serta melakukan test
substantif.
Dari definisi diatas dapat ditarik kesimpulan bahwa audit sistem
informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan
mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi
berbasis komputer yang digunakan oleh organisasi telah dapat mencapai
tujuannya.
2.4.3 Jenis Audit
Menurut CISA Review manual (2005, pp36-37), jenis audit terbagi menjadi:
15
1. Financial Audits – The purpose of a financial audit is to assess the correctness of
an organization’s financial statements. A financial audit will often involve
detailed, substantive testing. This kind of audit relate to information integrity and
reliability.
2. Operational audits – An operational audit is designed to evaluate the internal
control structure in a given process or area. IS audits of applications controls or
logical security systems are example of operational audits.
3. Integrated audits – An integrated audit combines both financial and operational
audit steps. It also performed to assess the overall objectives within an
organization, related to financial information and assets safeguarding, efficiency
and compliance. An integrated audit can be performed by external or internal
auditors and would include both compliance test of internal controls and
substantive audit steps.
4. Administrative audits –These are oriented to assess issues related to the
efficiency of operational productivity within an organization.
5. Information systems audits – This process collects and evaluates evidence to
determine whether the information systems and related resources adequately
safeguard assets, maintain data and system integrity, provide relevant and
reliable information, achieve organizational goals effectively, consume resources
efficiently, and have in effect internal controls that provide reasonable assurance
that business, operational and control objective will be met and that undesired
events will be prevented or detected and corrected in a timely manner.
6. Specialized audits – within the category of information systems audits, there are
a number of specialized reviews that examine areas such as service performed by
16
third parties and forensic auditing. Businesses are becoming increasingly
reliant on third party service providers, it is important that internal controls be
evaluated in these environments.
7. Forensic audits – Traditionally, forensic auditing has been defined as an audit
specialized in discovering, disclosing and following up on frauds and crimes.
The primary purpose of such a review was the development of evidence for
review by law enforcement and judicial authorities. In recent years, the forensic
professional has been called upon to participate in investigations related to
corporate fraud and cyber crime.
Jenis audit diatas dapat diterjemahkan sebagai berikut:
1. Audit Keuangan - Tujuan dari audit keuangan adalah untuk menilai kebenaran
dari laporan keuangan organisasi. Sebuah audit keuangan seringkali memerlukan
perincian, pengujian substantif. Audit semacam ini berhubungan dengan
integritas informasi dan kehandalan.
2. Audit Operasional - Audit operasional dirancang untuk mengevaluasi struktur
pengendalian internal dalam sebuah proses atau bidang. IS audit kontrol aplikasi
atau sistem keamanan logis adalah contoh dari audit operasional.
3. Audit Terpadu - Audit terintegrasi menggabungkan kedua langkah audit
keuangan dan operasional. Hal ini juga dilakukan untuk menilai tujuan secara
keseluruhan dalam suatu organisasi, yang berhubungan dengan informasi
keuangan dan menjaga aset, efisiensi dan kepatuhan. Sebuah audit terpadu dapat
17
dilakukan oleh auditor eksternal atau internal dan akan mencakup kedua uji
kepatuhan pengendalian internal dan langkah audit yang substantif.
4. Audit Administrasi - Audit ini berorientasi untuk menilai isu-isu terkait dengan
efisiensi produktivitas operasional dalam suatu organisasi.
5. Audit Sistem Informasi - Proses ini mengumpulkan dan mengevaluasi bukti-
bukti untuk menentukan apakah sistem informasi dan sumber daya terkait
memadai menjaga aset, memelihara integritas data dan sistem, memberikan
informasi yang relevan dan dapat diandalkan, mencapai tujuan organisasi secara
efektif, mengkonsumsi sumber daya secara efisien, dan memiliki efek internal
pada kontrol yang memberikan jaminan yang wajar bahwa bisnis, operasional
dan tujuan kontrol akan dipenuhi dan bahwa peristiwa yang tidak diinginkan
akan dicegah atau dideteksi dan dikoreksi pada waktu yang tepat.
6. Audit Khusus - dalam kategori audit sistem informasi, ada sejumlah tinjauan
khusus yang meneliti bidang-bidang seperti pelayanan yang dilakukan oleh pihak
ketiga dan audit forensik. Bisnis menjadi semakin bergantung pada penyedia
layanan pihak ketiga, adalah penting bahwa kontrol internal dievaluasi dalam
lingkungan ini.
7. Audit Forensik - Secara tradisional, audit forensik telah didefinisikan sebagai
audit khusus dalam menemukan, mengungkapkan dan menindaklanjuti penipuan
dan kejahatan. Tujuan utama dari tinjauan tersebut adalah pengembangan bukti
untuk diperiksa oleh penegak hukum dan kekuasaan kehakiman. Dalam beberapa
tahun terakhir, profesional forensik telah dipanggil untuk berpartisipasi dalam
penyelidikan terkait dengan penipuan perusahaan dan kejahatan cyber.
18
2.4.4 Tujuan Audit
Berdasarkan pendapat Gondodiyoto (2007, p474), tujuan dari audit
sistem informasi adalah sebagai berikut :
1. Pengamanan aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya, manusia, file data dan fasilitas
lain harus dijaga dengan sistem pengendalian internal yang baik agar tidak
terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem
pengamanan aset merupakan suatu hal yang sangat penting yang harus
dipenuhi oleh perusahaan.
2. Efektivitas sistem
Efektivitas sistem informasi perusahaan memiliki peranan penting dalam
proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing
the right thing), telah sesuai dengan kebutuhan pengguna. Informasi yang
dibutuhkan oleh para manajer dipenuhi dengan baik.
3. Efisiensi sistem
Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas.
Jika cara kerja dari sistem aplikasi komputer menurun maka pihak
manajemen harus mengevaluasi apakah efisiensi sistem masih memadai
atau harus menambah sumber daya, karena suatu sistem dikatakan efisien
jika sistem informasi dapat memenuhi kebutuhan pengguna dengan sumber
daya informasi yang minimal. Cara sistem kerja benar (doing thing right).
19
4. Ketersediaan (Availability)
Berhubungan dengan ketersediaan dukungan atau layanan teknologi
informasi (TI). TI hendaknya dapat mendukung secara continue terhadap
proses bisnis (kegiatan perusahaan). Makin sering terjadi gangguan (system
down), maka berarti tingkat ketersediaan sistem rendah.
5. Kerahasiaan (Confidentiality)
Fokusnya adalah pada proteksi terhadap informasi dan supaya terlindungi
dari akses pihak-pihak yang tidak berwenang.
6. Kehandalan (Reliability)
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam
pengelolaan organisasi, pelaporan dan pertanggungjawaban.
7. Menjaga Integritas data
Integritas data (data integrity) adalah salah satu konsep dasar dari sistem
informasi. Data memiliki atribut-atribut seperti : kelengkapan, kebenaran
dan keakuratan.
2.4.5 Pendekatan Audit Sistem Informasi
Menurut Gondodiyoto (2007, pp451-453) metode audit sistem informasi
meliputi :
1. Auditing around the computer
Dalam pedekatan audit di sekitar komputer, auditor (dalam hal ini harus
akuntan yang registered, dan bersertifikasi akuntan publik) dapat
mengambil kesimpulan dan merumuskan opini dengan hanya menelaah
20
struktur pengendalian dan melaksanakan pengujian transaksi dan
prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem
akuntansi manual. Auditor tidak perlu menguji pengendalian sistem
informasi berbasis teknologi informasi klien (file program atau
pengendalian atas file atau data di komputer) melainkan cukup terhadap
input serta output sistem aplikasi saja. Sistem komputerisasi dianggap
sebagai blackbox (sesuatu yang diketahui fungsinya, tapi tidak perlu
diperiksa bagaimana kinerjanya).
2. Auditing through the computer
Dalam pendekatan audit ke sistem komputer, auditor melakukan
pemeriksaan langsung terhadap program-program dan file-file komputer
pada audit SI berbasis TI. Auditor menggunakan komputer atau dengan
pengecekan logika atau listing program (desk test on logic or program
source code) untuk menguji logika program dalam rangka pengujian
pengendalian yang ada pada komputer. Selain itu auditor juga dapat
meminta penjelasan dari para teknisi komputer mengenai spesifikasi
sistem dan atau program yang diaudit.
3. Auditing with the computer
Pada pendekatan ini, audit dilakukan dengan menggunakan komputer
dan software untuk mengotomatisasi prosedur pelaksanaan audit.
Pendekatan ini dapat menggunakan beberapa computer assisted audit
21
techniques, misalnya system control audit review file (SCARF), snapshot
dan sebagainya. Pendekatan audit dengan bantuan komputer merupakan
cara yang sangat bermanfaat, khususnya dalam pengujian substantif atas
file dan record perusahaan.
2.5 Service
2.5.1 Pengertian Service
Menurut Lupiyoadi (2001, p5) pengertian jasa adalah:
“A service is an activity or series of activities of more or less intangible nature
that normally, hut not necessarile, take place in interactions between the
customer and service employees and/or physical resources or good ard/or
system of the service provider, which are provided as solutions to customer
problems”. Artinya : Sebuah layanan adalah kegiatan atau serangkaian
kegiatan yang biasanya tidak berwujud, tetapi tidak selalu berinteraksi
langsung antara pelanggan dan karyawan jasa baik sumber daya fisik maupun
sistem penyedia layanan, yang diberikan sebagai solusi untuk masalah
pelanggan. (http://jurnal-sdm.blogspot.com/2009/04/produk-jasa-pengertian-
karakteristik.html)
Menurut Lovelock dan Wirtz (2007, p15), Service are economic activities
offered by on party to another, most commonly employing time-based
performance to bring about desired results in recipients themselves or in
objects or other assets for which purchasers have responsibility. Artinya :
Service adalah kegiatan ekonomi yang ditawarkan oleh suatu pihak kepada
22
pihak lain, sering menggunakan kinerja yang berbasis waktu untuk membawa
hasil yang diinginkan oleh penerima atau benda atau aset lainnya yang
memiliki tanggung jawab dari pembeli.
Dari definisi diatas dapat ditarik kesimpulan bahwa service adalah setiap
tindakan atau kegiatan yang dapat ditawarkan oleh satu pihak kepada pihak
lain, yang pada dasarnya tidak berwujud dan tidak mengakibatkan kepemilikan
apapun.
2.5.2 Karakteristik Service
Menurut Kotler dan Amstrong (2006, pp45-48) secara umum service
mempunyai 4 karakteristik pokok yang membedakannya dengan barang yaitu :
1. Tidak berwujud (intangible)
Jasa tidak bisa dilihat, dicicipi, dirasakan, didengar, dan dibaui sebelum
dibeli. Misalnya : orang yang menjalani operasi wajah tidak dapat melihat
hasilnya yang sesungguhnya sebelum ia membeli jasa tersebut.
2. Tidak dapat dipisahkan (inseparibility)
Biasanya jasa dihasilkan dan dikonsumsi secara bersamaan. Hal ini tidak
berlaku bagi barang-barang fisik yang diproduksi, disimpan sebagai
persediaan, didistribusikan melalui banyak penjual, dan dikonsumsi
kemudian. Jika seseorang memberikan jasa tersebut, penyedianya adalah
bagian dari jasa itu.
3. Bervariasi (variability)
23
Karena bergantung pada siapa memberikannya serta kapan dan dimana
diberikan, jasa sangat bervariasi. Contohnya, beberapa dokter memiliki
keramahan sangat baik dengan pasiennya, yang lain kurang sabar dengan
pasien-pasiennya.
4. Tidak tahan lama atau mudah lenyap (perishability)
Jasa tidak dapat disimpan. Sifat jasa yang mudah rusak (perishability)
tersebut tidak akan menjadi masalah apabila permintaan tetap berjalan
lancar. Misalnya : perusahaan-perusahaan angkutan umum harus memiliki
jauh lebih banyak perlengkapan karena permintaan jam-jam sibuk,
dibandingkan dengan andai kata permintaan merata sepanjang hari.
2.6 Metodologi Pengumpulan Data
2.6.1 Wawancara
Menurut Nazir (2005, p193-194), wawancara adalah proses
memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab,
sambil bertatap muka antara si penanya atau pewawancara dengan si
penjawab atau responden dengan menggunakan alat yang dinamakan
interview guide (panduan wawancara).
Menurut Gondodiyoto (2007, p598), wawancara merupakan teknik
pemeriksaan berupa tanya-jawab secara lisan antara auditor dengan auditee
untuk memperoleh bahan bukti audit.
24
Jadi dapat disimpulkan bahwa pengertian wawancara adalah
percakapan antara dua orang atau lebih yang berlangsung antara narasumber
dan pewawancara yang bertujuan untuk mendapatkan informasi.
2.6.2 Obervasi
Menurut Nazir (2005, p175), Pengumpulan data dengan observasi
langsung atau dengan pengamatan langsung adalah cara pengambilan data
dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk
keperluan tersebut.
Menurut Gondodiyoto (2007, p596), observasi atau pengamatan
adalah cara memeriksa dengan menggunakan panca indera terutama mata,
yang dilakukan secara continue selama kurun waktu tertentu untuk
memberikan sesuatu keadaan atau masalah.
Jadi dapat disimpulkan bahwa observasi adalah proses pengamatan
langsung secara sistematik yang bertujuan untuk mendapatkan data tanpa
menggunakan alat.
2.7 CoBIT
2.7.1 Pengertian COBIT
Menurut Gondodiyoto (2007, pp276), CoBIT adalah sekumpulan
dokumentasi best practices untuk IT Governance yang dapat membantu
auditor, pengguna (user) dan manajemen, untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. CoBIT
25
bermanfaat bagi auditor karena merupakan teknik yang membantu dalam
mengidentifikasi Information Technology Control Issue. CoBIT berguna
bagi para information technology users karena memperoleh keyakinan atas
sistem aplikasi yang digunakan. Sedangkan para manajer memperoleh
manfaat dalam keputusan investasi dibidang teknologi informasi serta
infrastrukturnya, menyusun rencana teknologi informasi, menentukan
arsitektur informasi dan keputusan atas procurement (pengadaan atau
pembelian) mesin.
2.7.2 Kerangka Kerja CoBIT
Menurut Gondodiyoto (2007, p279) Kerangka Kerja CoBIT terdiri
atas beberapa arahan (Guidelines), yakni :
1) Control Objectives
Control Objectives terdiri dari empat unsur utama, yaitu :
a) Perencanaan dan organisasi (Planning and Organization)
Yaitu mencakup pembahasan mengenai identifikasi dan strategi
investasi teknologi informasi yang dapat memberikan yang terbaik
untuk mendukung pencapaian tujuan bisnis. Selanjutnya
identifikasi dan visi strategis perlu direncanakan, dikomunikasikan
dan diatur pelaksanaannya (dari berbagai perspektif).
b) Pengakuisisi dan Implementasi (Acquisition and Implementasion)
Yaitu untuk merealisisasi strategi teknologi informasi, perlu diatur
kebutuhan teknologi informasi, diidentifikasi, dikembangkan, atau
diimplementasikan secara terpadu dalam proses bisnis perusahaan.
26
c) Penyerahan dan Pendukung (Delivery and Support)
Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan
teknologi informasi kegiatan terhadap kegiatan operasional bisnis
(tingkat jasa layanan teknologi informasi actual atau service level)
dan aspek urutan (prioritas implementasi dan dukungannya).
d) Memantau dan Mengevaluasi (Monitoring and Evaluate)
Semua proses teknologi informasi yang perlu dinilai secara berkala
agar kualitas dan tujuan teknologi informasi tercapai, dan
kelengkapannya berdasarkan pada syarat pengendalian internal
yang baik.
2) Audit Guidelines
Berisi sebanyak tiga ratus delapan belas tujuan pengendalian rinci
(detail control objective) untuk membantu para auditor dalam
memberikan management assurance dan atau saran perbaikan.
3) Management Guidelines
Berisi arahan baik secara umum maupun spesifik, mengenai apa saja
yang harus dilakukan.
2.7.3 Kriteria kerja CobIT
Menurut Gondodiyoto (2007,p277), kriteria kerja CobIT meliputi:
Tabel 2.1 Kriteria Kerja CobIT
27
Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan
benar, konsisten, dapat dipercaya dan tepat waktu.
Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang optimal.
Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otorisasi.
Integritas Berhubungan dengan keakuratan dan kelengkapan informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
Ketersediaan Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan
datang.
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian
untuk proses bisnis.
Keakuratan
Informasi
Berhubungan dengan ketentuan kecocokan informasi untuk
manajemen mengoperasikan entitas dan mengatur pelatihan
keuangan dan kelengkapan laporan tanggung jawaban.
2.7.4 Domain CobIT
28
Tabel 2.2 Domain & High Controls CobIT
CobIT Domain High Level Objectives
1. Plan and Organize 1. Define a strategic IT Plan and direction
2. Define the information architecture
3. Determine technological direction
4. Define IT processes, organization and relationship
5. Manage the IT investment
6. Communicate management aim and direction
7. Manage IT human resources
8. Manage Quality
9. Assess and manage IT risks
10. Manage projects
2. Acquire and
Implement
1. Identify automated solutions
2. Acquire and maintain application software
3. Acquire and maintain technology infrastructure
4. Enable operation and use
5. Procure IT resources
29
6. Manage Changes
7. Instal and accredit solutions and changes
3. Deliver and
support
1. Define and manage service levels
2. Manage third-party services
3. Manage performance and capacity
4. Ensure continuous service
5. Ensure systems security
6. Identify and allocate costs
7. Educate and train users
8. Manage service desk and incidents
9. Manage the configuration
10. Manage problems
11. Manage data
12. Manage the physical environment
13. Manage operations
4. Monitor and
Evaluate
1. Monitor and evaluate IT processes
2. Monitor and evaluate internal control
31
Gambar 2.1 CobIT Processes Defined Within The Four Domains
Sumber : ITGI – CobIT 4.1th edition (2007,p26)
32
CobIT diharapkan dapat membantu menemukan berbagai macam
kebutuhan manajemen berkaitan dengan teknologi informasi, membantu
mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran
(kriteria) ketika terjadi penyelewengan atau penyimpangan serta dapat
diterapkan dan diterima sebagai standar keamanan teknologi informasi dan
praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan
dan memantau tingkatan yang sesuai dengan keamanan dan kendali
organisasi mereka.