6
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Sistem
Menurut Mulyadi (2001, p2), sistem adalah sekelompok unsur yang erat
berhubungan satu dengan lainnya, yang berfungsi bersama-sama untuk mencapai tujuan
tertentu.
Menurut O'Brien (2005, p29), sistem adalah sekelompok komponen yang saling
berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input
serta menghasilkan output dalam proses transformasi yang teratur.
Menurut McLeod (2004, p9), sistem adalah sekelompok elemen-elemen yang
terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.
Jadi dapat disimpulkan bahwa sistem adalah kumpulan beberapa komponen
yang saling berhubungan dan bekerja untuk mencapai tujuan tertentu.
2.1.2 Informasi
Menurut O'Brien (2005, p38), informasi adalah data yang telah diubah menjadi
konteks yang berarti dan berguna bagi para pemakai akhir tertentu.
Menurut Gondodiyoto (2007, p82), informasi adalah data yang telah diolah,
diubah menjadi suatu bentuk yang sesuai dengan keinginan si penerima.
Dapat disimpulkan bahwa informasi merupakan kumpulan data-data yang telah
diolah dan dapat dipergunakan oleh pemakai akhir tertentu.
7
2.1.3 Sistem Informasi
Menurut Hall (2007,p7), sistem informasi adalah suatu rangkaian prosedur
formal dimana data dikumpulkan, di proses dan didistribusikan kepada para pengguna.
Menurut Whitten (2004,p67), sistem informasi adalah kumpulan yang terdiri
dari orang, data dan proses yang saling keterkaitan untuk menghasilkan suatu informasi
yang dibutuhkan untuk mendukung pengambilan keputusan bagi suatu organisasi.
Menurut O’brien (2005, p5), sistem informasi merupakan kombinasi teratur apa
pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data
yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.
Berdasarkan pengertian di atas maka dapat disimpulkan bahwa sistem informasi
adalah suatu kesatuan dari berbagai komponen yang diproses untuk menghasilkan
informasi yang berguna bagi perusahaan dalam mencapai tujuan.
2.1.4 Tujuan Sistem Informasi
Tujuan sistem informasi menurut Hall (2007, p17), dapat dibedakan atas 3
tujuan umum bagi semua sistem, yaitu:
- Untuk mendukung fungsi kepengurusan (stewardship) manajemen yang
merujuk ke tanggung jawab manajemen untuk mengatur sumber daya
perusahaan secara benar.
- Untuk mendukung pengambilan keputusan manajemen. Sistem informasi
memberikan para manajer informasi yang mereka butuhkan untuk melakukan
tanggung jawab pengambilan keputusan.
8
- Untuk mendukung kegiatan operasi perusahaan, sistem informasi menyediakan
informasi bagi personal operasi untuk membantu kegiatan operasi perusahaan
secara efisien dan efektif.
2.1.5 Sistem Informasi Penjualan
Sistem informasi penjualan adalah suatu kesatuan dari berbagai komponen yang
di proses untuk menghasilkan informasi penjualan yang berguna bagi perusahaan dalam
mencapai tujuan.
2.1.6 Evaluasi
Menurut Umar (2002, p36), evaluasi adalah suatu proses untuk menyediakan
informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan
pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih
diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan
dengan harapan-harapan yang ingin diperoleh.
Prosedur evaluasi
Menentukan apa yang akan di evaluasi.
Apa saja yang dapat di evaluasi, dapat mengacu pada program kerja perusahaan.
Banyak aspek-aspek yang dapat dan perlu di evaluasi. Tetapi biasanya yang
diprioritaskan untuk di evaluasi adalah hal-hal yang menjadi key success factors-
nya.
9
Merancang kegiatan evaluasi.
Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain evaluasinya agar
data apa saja yang dibutuhkan, tahapan-tahapan kerja apa saja yang dilalui, siapa
saja yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas.
Pengumpulan data
Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar mudah
dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat
menghasilkan fakta yang dapat di percaya. Selanjutnya dibandingkan antara
fakta dan harapan atau rencana untuk menghasilkan gap. Besar gap akan
disesuaikan dengan tolok ukur tertentu sebagai hasil evaluasi.
Pelaporan hasil evaluasi
Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan,
hendaknya hasil evaluasi didokumentasikan secara tertulis dan diinformasikan
baik secara lisan maupun tulisan.
Tindakan lanjut hasil evaluasi
Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu,
hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk mengambil
keputusan dalam rangka mengatasi masalah manajemen, baik di tingkat strategi
maupun di tingkat implementasi strategi.
10
2.1.7 Struktur Organisasi
Menurut Mulyadi (2001, p165), struktur organisasi merupakan kerangka
(framework) pembagian tanggung jawab fungsional kepada unit-unit organisasi yang
dibentuk untuk melaksanakan kegiatan-kegiatan pokok perusahaan.
2.1.8 Pengendalian Umum
Menurut Mulyadi (2001, p182), pengendalian umum merupakan standard dan
panduan yang digunakan oleh karyawan untuk melaksanakan fungsinya. Dalam
lingkungan pengolahan data elektronik, pengendalian umum meliputi : dokumen sistem,
prosedur pengembangan, dan perubahan sistem, dan metode operasi fasilitas
pengolahan data.
Menurut Welsch (2000, p3), pengendalian adalah suatu proses untuk menjamin
terciptanya kinerja yang efisien yang memungkinkan tercapainya tujuan perusahaan.
Berdasarkan pengertian di atas dapat disimpulkan bahwa pengendalian secara
umum merupakan standar yang digunakan karyawan untuk melakukan tugasnya
sehingga dapat terciptanya kinerja yang efisien untuk mencapai tujuan perusahaan.
11
2.2 Teori Khusus
2.2.1 Pengendalian Intern
Menurut Weber (1999, p35) pengedalian intern adalah suatu sistem untuk
mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari
serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap,
mengandung redudansi, tidak efektif dan tidak efisien.
Menurut Mulyadi (2001, p163), sistem pengendalian intern meliputi struktur
organisasi, metode dan ukuran-ukuran untuk menjaga kekayaan organisasi, mengecek
ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong
dipatuhinya kebijakan manajemen.
Berdasarkan pengertian di atas dapat disimpulkan bahwa pengendalian intern
merupakan suatu metode, ukuran-ukuran yang digunakan untuk menjaga kekayaan
organisasi, mendorong efisiensi dan efektifitas serta mendorong dipatuhinya kebijakan
manajemen.
2.2.1.1 Unsur-unsur Pengendalian Intern
Menurut Mulyadi (2001, p164), unsur pokok sistem pengendalian intern adalah:
- Struktur organisasi yang memisahkan tanggung jawab fungsional secara tegas.
- Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang
cukup terhadap kekayaan, utang, pendapatan dan biaya.
- Praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi.
- Karyawan yang mutunya sesuai dengan tanggung jawabnya.
12
2.2.1.2 Jenis Pengendalian Internal
Menurut Weber (1999, p67 & 365), pengendalian terdiri dari dua jenis yaitu:
1. Pengendalian Manajemen (Management Control Framework)
Pengendalian manajemen adalah sistem pengendalian internal komputer yang
berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian
tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut.
Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil sehingga
sistem informasi dapat di bangun, di operasi, dan di pelihara secara
berkesinambungan.
a. Pengendalian Top Manajemen (Top Level Management Control)
Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan
pengawasan fungsi sistem.
b. Pengendalian Manajemen Sistem Informasi (Information System
Management Control)
Mengendalikan alternatif dari model pengembangan proses sistem informasi
sehingga digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.
c. Pengendalian Manajemen Pengembangan Sistem (System Development
Management Control)
Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan
dari tiap tahap.
d. Pengendalian Manajemen Sumber Data (Data Resource Management
Control)
13
Mengendalikan peranan dan fungsi dari data administrator atau database.
e. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance
Management Control)
Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance
Management Control untuk meyakinkan bahwa pengembangan,
pelaksanaan, pengoperasian, dan pemeliharaan dari sistem informasi sesuai
dengan standar kualitas.
f. Pengendalian Manajemen Keamanan (Security Management Control)
Menurut Weber (1999, p257-266) dapat disimpulkan bahwa pengendalian
terhadap manajemen keamanan secara garis besar bertanggung jawab dalam
menjamin aset sistem informasi tetap aman.
g. Pengendalian Manajemen Operasi (Operation Management Control)
Menurut Weber (1999, p293-320), secara garis besar Pengendalian
Manajemen Operasi bertanggung jawab terhadap hal-hal berikut:
1. Pengoperasian Komputer (Computer Operation)
2. Pengoperasian Jaringan (Network Operation)
3. Persiapan dan Pengentrian data (Preparation dan Entry Data)
4. Pengendalian Produksi (Production Control)
5. Perpustakaan File (File Library)
6. Perpustakaan Dokumentasi dan Program (Documentation and Program
Library)
7. Bantuan dan Dukungan Teknis (Help Desk/Technical Support)
14
8. Perencanaan Kapasitas dan Pemantauan Kinerja (Capacity Planning and
Performance Monitoring)
9. Manajemen Operasi Outsource (Management Outsourced Operations)
2. Pengendalian Aplikasi (Application Control Framework)
a. Pengendalian Boundary (Boundary Control)
Menurut Weber (1999, p371-405) pengendalian ini bertanggung jawab
untuk menentukan hubungan antara user dengan sistem komputer seperti
fungsi pengendalian akses, nomor identifikasi personal (PIN), digital
signatures, dan plastic cards.
b. Pengendalian Input (Input Control)
Menurut Weber (1999, p420-450), komponen pada subsistem input
bertanggung jawab dalam mengirimkan data dan instruksi ke dalam sistem
aplikasi dimana kedua tipe atribut tersebut haruslah di validasi, selain itu
banyaknya kesalahan yang terdeteksi harus dikontrol sehingga input yang
dihasilkan akurat, lengkap, unik dan tepat waktu.
Pengendalian input merupakan hal yang kritis didasarkan 3 alasan, yaitu
jumlah pengendalian yang paling besar pada sistem informasi terhadap
kehandalan subsistem input, aktivitas pada subsistem input, yang bersifat
rutin, dalam jumlah besar dan campur tangan ini dapat mengalami
kebosanan sehingga cenderung mengalami error, subsistem input sering
menjadi target fraud. Banyak ketidakberesan yang ditemukan dengan cara
penambahan, penghapusan, atau pengubahan transaksi input.
15
2.2.2 COBIT
Menurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan dokumentasi
best practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik
yang dapat membantu dalam identifikasi IT controls issues. CobIT berguna bagi para IT
user karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan.
Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang TI
serta infrastrukturnya, menyusun strategic IT Plan, menentukan information
architecture, dan keputusan atas procurement (pengadaan/pembelian) mesin.
CobIT mendukung manajemen dalam mengoptimumkan investasi IT-nya
melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu
kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus
memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya
dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan
bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan
informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI
merupakan suatu elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan
bisnis terhadap :
1. Efektifitas, untuk memperoleh informasi yang relevan dan berhubungan dengan
proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat
dipercaya dan tepat waktu.
16
2. Efensiensi, memfokuskan pada ketentuan informasi melalui penggunaan sumber
daya yang optimal.
3. Kerahasiaan, memfokuskan proteksi terhadap informasi yang penting dari orang
yang tidak memiliki hak otorisasi.
4. Integritas, Berhubungan dengan keakuratan dan kelengkapan informasi sebagai
kebenaran yang sesuai dengan harapan dan nilai bisnis.
5. Ketersediaan, Berhubungan dengan informasi yang tersedia ketika diperlukan dalam
proses bisnis sekarang dan yang akan datang.
6. Kepatuhan, Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses
bisnis.
7. Keakuratan informasi, Berhubungan dengan ketentuan kecocokan informasi untuk
manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan
kelengkapan laporan pertanggungjawaban.
Kerangka kerja CobIT terdiri atas beberapa arahan (guidelines),yaitu :
• Control Objectives terdiri dari 4 tujuan pengendalian tingkat-tingkat (high-level
control objectives) yang tercermin dalam 4 domain, yaitu: plan & organize,
acquire & implement, deliver & support, dan monitor & evaluate.
• Audit Guidelines, berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed
control objectives) untuk membantu para auditor dalam memberikan management
assurance dan atau saran perbaikan.
• Management guidelines, berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan.
17
Gambar 2.1 CobIT Business Control Objectives-IT Governance
CobIT Framework mencakup tujuan pengendalian yang terdiri dari 4 domain yaitu:
1. Perencanaan & Organisasi (plan and organize )
Yaitu mencakup pembahasan tentang idenifikasi dan strategi investasi TI yang dapat
memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya
identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur
pelaksanaanya (dari berbagai perspektif).
18
2. Perolehan & Implementasi (Acquire and implement)
Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI, diidentifikasi,
dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis
perusahaan.
3. Penyerahan & Pendukung (deliver and support)
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap
kegiatan operasional bisnis (tingkat jasa layanan TI aktual atau service level) dan
aspek urutan (Prioritas impelementasi dan untuk pelatihannya).
4. Monitor & evaluasi (Monitor and Evaluate)
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan
dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal
yang baik.
19
Empat domain pada CobIT Framework tersebut selanjutnya dirinci menjadi 34
high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control
objectives), sebagai berikut:
Cobit Domain High Level Objectives 1.Plan and Organize 1. Define a strategic IT plan and direction
2. Define the information architecture 3. Determine technological direction 4. Define IT processes, organization and relationship 5. Manage the IT investment 6. Communicate management aim and direction 7. Manage IT human resources 8. Manage Quality 9. Assess and manage IT risks 10.Manage projects
2.Acquire and implement
1. Identify automoted solutions 2. Acquire and maintain application software 3. Acquire and maintain techonology infrastructure 4. Enable operation and use 5. Procure IT resources 6. Manage changes 7. Install and accredit solutions and changes
3. Deliver and support
1. Define and manage service levels 2. Manage third-party services 3. Manage performance and capacity 4. Ensure continuos service 5. Ensure systems security 6. Identify and allocate costs 7. Educate and train users 8. Manage service desk and incidents 9. Manage the configuration 10.Manage problems 11.Manage data 12.Manage the physycal environment 13.Manage operations
4. Monitor and Evaluate 1. Monitor and evaluate IT processes 2. Monitor and evaluate internal control 3. Ensure regulatory compliance 4. Provide IT Governance
Tabel 2.1 Domain & High Level Controls CobIT
20
2.2.2.1 Domain Plan and Organise (PO)
PO1 Menetapkan Rencana Strategis IT (Define a strategic IT Plan)
Perencanaan strategis TI diperlukan untuk mengelola dan memimpin semua
sumber daya TI seiring dengan strategis dan prioritas bisnis. Fungsi Teknologi
Informasi dan pemegang saham bisnis bertanggung jawab untuk menjamin hasil yang
optimal direalisasikan dari proyek dan portofolio pelayanan. Strategi dan prioritas bisnis
akan tercerminkan di dalam portofolio dan dilaksanakan oleh perencanaan taktis TI,
yang menetapkan sasaran yang singkat, rencana tindakan dan tugas-tugas yang
dimengerti dan di terima oleh kedua bisnis dan teknologi informasi.
PO2 Mendefinisikan Arsitektur Informasi (Define the Information Architecture)
Proses ini memperbaiki kualitas keputusan manajemen dengan menyakinkan
bahwa informasi yang disediakan dapat diandalkan dan aman, dan memungkinkan
sumber daya sistem informasi yang masuk akal untuk membandingkan strategi bisnis
secara wajar. Proses teknologi informasi ini juga diperlukan untuk menambah
pertanggungjawaban atas integritas dan keamanan data dan untuk meningkatkan
efektifitas dan control untuk berbagai informasi melintasi aplikasi-aplikasi dan entitas
yang memenuhi persyaratan bisnis TI.
PO3 Menetapkan Arah Teknologi (Determine Techonological Direction)
Fungsi pelayanan informasi menentukan jurusan teknologi untuk membantu
bisnis. Ini memerlukan kreasi dari perencanaan infrastruktur teknologi dan sebuah
dewan arsitektur yang menentukan dan mengelola ekspektasi yang jelas dan realitas
21
tentang teknologi yang mana yang dapat menawarkan berdasarkan produk, pelayanan
atau jasa dan mekasnisme pengantaran. Rencana tersebut diperbarui secara teratur dan
meliputi aspek-aspek seperti arsitektur sistem, arah teknologi, rencana akuisisi, standar,
strategi dan kemungkinan perpindahan.
PO4 Mendefinisikan Proses TI, Organisasi, dan Hubungannya (Define the IT
processes, Organisation and Relationships)
Organisasi teknologi Informasi ditetapkan dengan mempertimbangkan syarat-
syarat bagi staf, keterampilan, fungsi, kekuasan, tugas, tanggung jawab, dan
pengawasan. Proses-proses, kebijakan-kebijakan administratif dan prosedur-prosedur
semuanya berada pada tempatnya untuk semua fungsi, dengan perhatian spesifik untuk
mengkontrol, kepastian mutu, pengelolaan resiko, keamanan informasi, kepemilikan
data dan sistem, dan pemisahan tugas atau kewajiban.
PO5 Mengatur Investasi TI (Manage the IT Investment)
Sebuah kerangka dibuat dan dipelihara untuk mengelola program investasi
Teknologi Informasi dan yang meliputi biaya, keuntungan, prioritasisasi dalam
anggaran, proses penganggaran dan pengelolaan berdasarkan anggaran yang formal.
Pemegang saham dikonsultasikan untuk mengenali dan mengkontrol total biaya dan
manfaat dalam konteks rencana strategis dan taktis TI dan memulai tindakan korektif
dimana diperlukan.
22
PO6 Mengkomunikasikan Tujuan Dan Arahan Manajemen (Communicate
Management Aims and Direction)
Manajemen mengembangkan kerangka kontrol enterprise teknologi informasi
dan menetapkan serta menyampaikan kebijakan-kebijakan dan prosedur, yang disetujui
oleh manajemen. Komunikasi mendukung prestasi dari tujuan TI dan menjamin
kesadaran dan pengertian bisnis dan resiko, tujuan dan arah TI.
PO7 Mengelola Sumber Daya Manusia TI (Manage IT Human Resources)
Tenaga kerja yang kompeten diperoleh dan dipertahankan untuk kreasi dan
pengantaran pelayanan TI kepada bisnis. Ini tercapai dengan mengikuti ketetapan dan
penerapan yang disetujui dahulu yang membantu perekrutan, pelatihan, mengevaluasi
performa, kenaikan pangkat dan pemberhentian hubungan kerja. Proses ini adalah kritis
karena orang adalah aset yang penting dan penentuan serta kontrol lingkungan internal
sangat tergantung atas motivasi dan kompetensi personalia yang memenuhi persyaratan
bisnis.
PO8 Mengatur Kualitas (Manage Quality)
Sistem Manajemen Kualitas dikembangkan dan dipelihara meliputi
perkembangan dan proses akuisisi dan standar yang terbukti. Ini dapat dilaksanakan
dengan perencanaan, implementasi, dan mempertahankan QMS dengan memberikan
persyaratan, prosedur dan kebijakan yang bermutu. Perbaikan terus-menerus dapat
tercapai dengan terus-menerus mengamati, menganalisa, dan bertindak pada
penyimpangan-penyimpangan dan menyampaikan hasil kepada pemegang saham.
23
PO10 Mengatur Proyek (Manage Projects)
Sebuah program dan kerangka manajemen proyek untuk manajemen seluruh
proyek TI didirikan. Kerangka tersebut menjamin prioritas dan koordinasi yang benar
dari semua proyek. Kerangka tersebut termasuk rencana induk, pembagian sumber
daya, definisi tugas yang telah disetujui, persetujuan oleh pemakai, pendekatan yang
bertahap untuk pengantaran tugas, jaminan mutu, rencana resmi, dan pengujian dan
peninjauan kembali paska-implementasi setelah instalasi untuk menjamin pengaturan
resiko proyek dan nilai pengantaran kepada bisnis.
2.2.2.2 Domain Acquire and Implement (AI)
AI1 Identifikasi Solusi-solusi Otomatis (Identify Automated Solutions)
Control objective AI1 merupakan salah satu sasaran kontrol yang berfokus pada
pengindentifikasian solusi terotomatisasi. Tujuan yang ingin dicapai pada proses ini
adalah menjamin efektifitas dan efisiensi sesuai pendekatan dalam hal kepuasan
pengguna. Sehingga information criteria yang harus dipenuhi meliputi effectiveness dan
efficiency. Sedangkan sumber daya teknologi informasi yang terlibat dalam proses ini
antara lain sistem aplikasi, teknologi, dan fasilitas. Proses ini meliputi kejelasan akan
apa yang dibutuhkan, pertimbangan dan berbagai solusi yang ada, meninjau ulang
kemampuan teknologi dan ekonomi, analisis resiko dan analisis rugi laba, serta
keputusan final untuk membuat atau membeli solusi yang ada.
24
AI2 Mendapatkan Dan Memelihara Perangkat Lunak Aplikasi (Acquire and
Maintain Application Software)
Control objective AI2 merupakan suatu proses yang mencakup rancangan
aplikasi, pendekatan yang tepat atas kontrol aplikasi dan segi keamanan yang
diperlukan, pengembangan dan konfigurasi yang sesuai dengan standar. Proses ini
bertujuan untuk menyediakan fungsi-fungsi yang telah terotomasi dan secara efektif
mampu mendukung proses bisnis.
AI3 Mendapatkan Dan Memelihara Infrastruktur Teknologi (Acquire and
Maintain Technology Infrastructure)
Control objective AI3 merupakan proses pengadaan dan perawatan infrastruktur
teknologi dengan tujuan penyediaan berbagai platform yang tepat untuk mendukung
aplikasi dalam proses bisnis terkait. Effectiveness dan efficiency serta integrity sebagai
secondary priority merupakan faktor-faktor information criteria yang perlu
diperhatikan dalam proses ini. Sementara itu, teknologi menjadi satu-satunya sumber
daya teknologi informasi yang dimungkinkan secara aplikatif pada proses ini.
A14 Menjalankan Operasi Dan Menggunakannya (Enable Operation and Use)
Control Objective AI4 merupakan proses yang membutuhkan produksi
dokumentasi, dan petunjuk bagi pengguna TI, dan menyediakan pelatihan untuk
memastikan penggunaan, pengoperasian aplikasi dan infrastruktur berjalan dengan
semestinya.
25
AI5 Pengadaan Sumber Daya TI (Procure IT Resources)
Control Objectives AI5 merupakan proses yang bertujuan untuk memperoleh
sumber daya TI yang meliputi orang, perangkat keras, perangkat lunak dan layanan. Hal
ini membutuhkan penjelasan dan pelaksanaan prosedur procure, yaitu pemilihan
vendor, aturan yang disetujui dalam kontrak, dan proses akuisisi itu sendiri. Dengan
demikian membantu perusahaan memiliki sumber daya TI yang dibutuhkan tepat pada
waktunya dan dengan biaya yang efektif.
AI6 Mengelola Perubahan (Manage Changes)
Control Objective AI6 merupakan salah satu sasaran kontrol yang berfokus pada
proses untuk mengelola perubahan. Perubahan yang dimaksud adalah perubahan
terhadap sistem, baik secara keseluruhan maupun sebagian. Tujuan dari sasaran kontrol
ini adalah untuk meminimalkan adanya kemungkinan gangguan. Perubahan dan
kesalahan yang tidak terotorisasi. Effectivenes, efficiency, integrity dan availability
merupakan unsur-unsur information criteria yang perlu diperhatikan untuk memenuhi
proses ini.
AI7 Instalasi Dan Akreditasi Solusi serta Perubahan (Install and Accredit Solutions
and Changes)
Berfokus pada proses instalasi dan akreditasi sistem dengan memenuhi
kebutuhan bisnis untuk verifikasi dan konfirmasi bahwa solusi yang diberikan sesuai
dengan hasil yang diharapkan. Tujuan tersebut dapat dicapai melalui adanya realisasi
suatu proses migrasi instalasi yang tepat dan sesuai.
26
2.2.2.3 Domain Deliver and Support (DS)
DS1 Menetapkan Dan Mengatur Tingkat Layanan (Define and Manage Service
Levels)
Tujuan dilakukan proses ini adalah memastikan kesejajaran dari kunci service TI
dengan strategi service yang meliputi proses pemantauan dan laporan rutin kepada
pemegang saham dalam penyelesaian tingkat service. Yang perlu dilakukan untuk
memenuhi proses ini adalah dengan mengindentifikasikan kebutuhan service,
pemahaman pada tingkat service. Proses ini dapat dicapai dengan membuat persetujuan
internal dan eksternal yang sejalan dengan kebutuhan dan kemampuan penyampaian,
melaporkan tingkat service, mengindentifikasi dan menyampaikan kebutuhan service
yang baru yang telah diperbaharui untuk membuat perencanaan strategi.
DS2 Pengaturan Layanan Pihak Ke Tiga (Manage Third-party Services)
Tujuan dilakukan proses ini adalah supaya jasa yang diberikan oleh pihak ketiga
dapat memuaskan dan memenuhi kebutuhan organisasi. Yang perlu dilakukan untuk
memenuhi proses ini adalah menentukan peran dan tanggung jawab pihak ketiga, hal
yang ingin didapatkan dari pihak ketiga, membangun hubungan baik dengan pihak
ketiga, mengelola resiko, serta mengawasi kinerjanya. Apabila proses ini dilakukan
dengan baik, maka organisasi dapat meminimalkan resiko yang timbul akibat kinerja
pihak ketiga yang buruk. Proses ini dapat dicapai dengan mengindentifikasi jasa
supplier, resiko yang ditimbulkan oleh supplier, dan mengawasi kinerja dari supplier.
27
DS3 Mengatur Kinerja Dan Kapasitas (Manage Performance and Capacity)
Tujuan dilakukan proses ini adalah dalam mengatur kapasitas pencapaian sumber
daya TI diperlukan suatu proses meninjau ulang kembali pencapaian sumber daya
tersebut sekarang ini. Proses ini meliputi meramalkan kebutuhan yang diperlukan untuk
masa mendatang berdasarkan apa yang dibutuhkan, penyimpanan, dan kebutuhan yang
tidak diduga. Proses ini menyediakan jaminan sumber daya informasi yang selalu
tersedia yang mendukung kebutuhan bisnis secara terus menerus. Proses ini dapat
dicapai dengan merencanakan serta mengembangkan kapasitas dan kemampuan,
mengawasi dan melaporkan pencapaian dari sistem, meramalkan pencapaian dari sistem
di masa mendatang.
DS4 Memastikan Ketersediaan Layanan (Ensure Continuous Service)
Tujuan dilakukan proses ini adalah untuk mengembangkan, memelihara, menguji
perencanaan kesinambungan TI, memanfaatkan penggunaan offsite backup storage dan
menyediakan pelatihan secara periodik dan berkala. Suatu jasa yang efektif dapat
memperkecil proses dari dampak gangguan TI dalam kunci fungsi bisnis dan proses
tersebut. Proses ini dapat dengan mengembangkan serta memelihara kontinuitas TI,
pelatihan dan pengujian rencana kontinuitas TI, penyimpanan salinan rencana dan data
dalam suatu lokasi tertutup.
DS5 Memastikan Keamanan Sistem (Ensure Systems Security)
Tujuan dilakukan proses ini adalah untuk mengatur integritas informasi dan
menjaga aset-aset yang diperlukan dalam proses manajemen keamanan. Proses ini
28
meliputi menetapkan dan memelihara peran keamanan TI dan pertanggungjawaban,
kebijakan-kebijakan, ukuran-ukuran dan prosedur-prosedur. Proses ini dapat dicapai
dengan memahami kebutuhan keamanan, kelemahan sistem dan ancaman-ancaman,
mengatur identitas pengguna dan otorisasi dalam metode standarisasi, dan pengujian
keamanan secara berkala.
DS6 Identifikasi dan Mengalokasi Biaya (Identify and Allocate Costs)
Tujuan dari proses ini adalah menciptakan kebutuhan untuk sistem yang baik
untuk mengalokasikan biaya TI untuk bisnis memerlukan pengukuran biaya TI yang
tepat dan persetujuan dengan pengguna bisnis dalam pengalokasian yang baik. Proses
ini meliputi membangun dan menjalankan sistem untuk mengetahui, mengalokasikan
dan melaporkan biaya TI kepada pengguna jasa. Proses ini dapat diwujudkan dengan
membangun dan menyetujui kualitas dan jumlah dari service yang ada,
mengimplementasikan proses berdasarkan persetujuan kebijakan.
DS7 Mendidik dan Melatih Pengguna Akhir (Educate and Train Users)
Tujuan dari proses ini adalah agar pengguna dapat menggunakan sistem dengan
efektif dan efisien, serta memastikan pengguna sistem mematuhi prosedur dan
kebijakan yang berlaku. Proses ini dapat diwujudkan dengan membuat materi pelatihan,
mengadakan pelatihan, serta meninjau ulang hasil pelatihan tersebut apakah membawa
pengaruh yang berarti terhadap kinerja pengguna sistem.
29
DS8 Mengelola Bagian Layanan dan Insiden (Manage Service Desk and Incidents)
Tujuan dari proses ini adalah menghasilkan respon secara berkala dan efektif untuk
menanggapi berbagai pertanyaan pengguna TI dan masalah-masalah, memerlukan
pelayanan dan pelaksanaan yang baik. Proses ini dapat diwujudkan dengan menginstal
dan mengoperasikan bagian service, memantau dan melaporkan, menggambarkan
prosedur dan kriteria peningkatan yang baik.
DS10 Mengelola Masalah (Manage Problems)
Manajemen masalah-masalah yang efektif memerlukan identifikasi dan
klasifikasi dari masalah-masalah proses manajemen masalah meliputi rekomendasi
perumusan masalah untuk perbaikan, pemeliharaan catatan-catatan masalah, mereview
status dari tindakan penyelesaian. Proses ini terfokus pada mencatat, memantau dan
menyelesaikan masalah-masalah operasional, investigasi sumber sebab dari semua
masalah yang penting dan menggambarkan solusi untuk identifikasi masalah operasi.
Proses ini dapat diwujudkan dengan menjalankan analisis sumber masalah pada laporan
masalah-masalah, menganalisis petunjuk-petunjuk, mengambil alih masalah-masalah
dan menjalankan penyelesaian masalah.
DS11 Mengelola Data (Manage Data)
Manajemen data yang efektif memerlukan identifikasi data yang penting. Proses
manajemen data juga meliputi pembentukan prosedur yang efektif untuk mengatur
dokumen-dokumen, menyimpan dan memperoleh kembali data. Manajemen data yang
efektif membantu menentukan kualitas, ketepatan waktu dan ketersediaan dari data
30
bisnis. Proses ini terfokus pada pemeliharaan kelengkapan, ketepatan, ketersediaan dan
perlindungan data. Proses ini dapat terwujud dengan back-up data dan pengujian
tempat penyimpanan, mengatur penyimpanan data internal dan eksternal, keamanan
distribusi data dan peralatan.
DS12 Mengelola Lingkungan Fisik (Manage the Physical Environment)
Perlindungan terhadap peralatan komputer dan perangkat-perangkat lainnya
memerlukan fasilitas fisik dengan perancangan yang baik dan pengaturan yang baik.
Proses ini terfokus untuk menetapkan dan memelihara lingkungan fisik yang tepat
untuk melindungi asset-aset TI dari akses, kerusakan atau pencurian. Proses ini dapat
terwujud dengan mengimplementasikan kematangan keamanan fisik dan memilih dan
mengatur fasilitas.
DS13 Mengelola Operasi (Manage Operations)
Memproses data yang lengkap dan akurat memerlukan manajemen yang efektif
dari prosedur-prosedur pemrosesan data dan pemeliharaan yang baik pada hardware.
Proses ini terfokus untuk menemukan mutu service operasional untuk penjadwalan
memproses data, menjaga hasil keluaran dan memantau dan memelihara infrastruktur.
Proses ini dapat tercapai dengan mengoperasikan lingkungan TI dengan baik dengan
berdasarkan pada mutu service dan menjalankan intruksi-intruksi serta memelihara
infrastruktur TI.
31
2.2.2.4 Domain Monitor and Evaluate
ME1 Mengawasi dan Mengevaluasi Kinerja TI (Monitor and Evaluate IT
Performance)
Manajemen kemampuan TI yang efektif memerlukan proses pemantauan. Proses
ini meliputi menggambarkan petunjuk-petunjuk kemampuan yang relevan, sistematis
dan laporan secara berkala dari kemampuan dan tindakan yang cepat atas
penyimpangan. Proses ini terfokus pada memantau dan melaporkan proses-proses
matrik dan mengidentifikasi serta mengimplementasi kemampuan dari tindakan
penyelesaian. Proses ini dapat tercapai dengan menyusun dan menterjemahkan proses
laporan kemampuan ke dalam laporan manajemen.
ME4 Menyediakan Tata Kelola TI (Provide IT Governance)
Membangun kerangka kerja governance yang efektif meliputi mengidentifikasi
struktur organisasi, berbagai proses, kepemimpinan, peran dan tanggung jawab untuk
memastikan bahwa investasi-investasi TI perusahaan telah berlangsung didalam
kesesuaian dengan strategi dan objektivitas perusahaan. Proses ini terfokus pada
mempersiapkan laporan komite pada strategi TI, kemampuan dan resiko-resiko dan
merespon kebutuhan governance yang berjalan dengan peraturan komite. Proses ini
dapat tercapai dengan membangun integrasi kerangka kerja IT governance menjadi
corporate governance.
32
2.2.2.5 Maturity Model
Menurut Gondodiyoto (2007, p66-68) menyatakan bahwa pendekatan yang
sering dipakai untuk melakukan penilaian terhadap pengelolaan suatu teknologi
informasi atau sistem informasi adalah dengan menggunakan konsep maturity model
yang dikembangkan oleh ISACA.
Maturity model dapat membantu pihak profesional untuk dapat menjelaskan
kepada manajemen perusahaan mengenai posisi dari tata kelola TI yang ada di
perusahaan saat ini dan dapat menentukan target untuk masa yang akan datang. Tingkat
maturity dapat dipengaruhi oleh tujuan bisnis dari perusahaan, lingkungan industri.
Lebih spesifik lagi, tingkat maturity tata kelola TI tergantung seberapa besar tingkat
ketergantungan perusahaan terhadap penggunaan TI, kesempurnaan dari TI yang ada
dan yang paling penting seberapa bernilainya suatu informasi dalam perusahaan
tersebut.
Gambar 2.2 Graphic Representation of Maturity Models
33
Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi
maturity model secara umum seperti di bawah ini :
a. Level 0 Non-existent
Pengelolaan teknologi informasi atau sistem informasi masih dalam tahap paling
awal, masih pemula. Setiap proses belum terdefinisi dengan baik. Organisasi belum
menyadari adanya persoalan yang perlu ditangani.
b. Level 1 Initial
Organisasi telah menyadari adanya persoalan yang perlu untuk ditangani, tetapi
belum ada standar proses yang harus dilakukan. Penanganan persoalan dilakukan
berdasarkan kasus-kasus yang muncul. Secara umum manajemen masih belum
terorganisasi.
c. Level 2 repeatable
Proses telah dikembangkan pada tahap ini sehingga telah dilakukan prosedur
yang sejenis untuk kegiatan yang sama. Belum ada prosedur standar yang diterapkan
dan tanggung jawab merupakan tanggung jawab individu.
d. Level 3 Defined
Prosedur telah distandarisasi, didokumentasikan, dan dikomunikasikan melalui
pelatihan. Tahap ini memulai mengenal metodologi pengembangan sistem dan masih
sangat tergantung individu apakah mengikuti standar yang ada maupun tidak tetapi
telah ada formalisasi untuk setiap kegiatan.
34
e. Level 4 Managed
Pada tahap ini manajemen mengawasi dan mengukur hal-hal yang telah
dipenuhi dengan prosedur, serta mengambil tindakan ketika proses tidak berjalan
dengan efektif. Proses-proses yang ada merupakan bagian dari pengembangan yang
konstan. Pada tahap ini telah dilakukan otomatisasi tetapi masih terbatas dan terpisah-
pisah.
f. Level 5 Optimised
Proses yang ada telah disesuaikan dengan best practice, berdasarkan hasil
pengembangan secara terus-menerus dengan organisasi-organisasi lain. Teknologi
informasi digunakan sebagai bagian yang terintegrasi dengan aliran kerja, sebagai alat
bantu meningkatkan kualitas dan efektifitas, dan membuat organisasi dapat cepat untuk
beradaptasi.
2.2.3 Perspektif yang Digunakan
Perspektif yang terdapat dalam CobIT terbagi menjadi 4, yaitu :
• Perspektif financial
Dalam perspektif ini mencakup tujuan bisnis berikut ini:
1. Memberikan pengembalian investasi T- investasi bisnis diaktifkan
2. Mengelola IT – risiko bisnis yang terkait
3. Meningkatkan corporate governance dan transparansi
35
• Perspektif pelanggan
Dalam perspektif ini mencakup tujuan bisnis berikut ini:
1. Meningkatkan orientasi pelanggan dan layanan
2. Menawarkan produk dan layanan yang kompetitif
3. Membangun kontinuitas dan ketersediaan layanan
4. Buat kelincahan dalam merespon perubahan kebutuhan bisnis
5. Mencapai optimalisasi biaya pelayanan
6. Mendapatkan informasi yang dapat diandalkan digunakan untuk strategis
pengambilan keputusan
• Perspektif internal
Dalam perspektif ini mencakup tujuan bisnis berikut ini:
1. Meningkatkan dan mempertahankan fungsi proses bisnis
2. Rendah biaya proses
3. Memberikan kepatuhan terhadap hukum, peraturan dan kontrak eksternal
4. Memberikan kepatuhan terhadap kebijakan internal
5. Mengelola perubahan bisnis
6. Meningkatkan dan mempertahankan produktivitas operasional dan staf
• Perspektif pembelajaran dan pertumbuhan
Dalam perspektif ini mencakup tujuan bisnis berikut ini:
1. Mengelola produk dan inovasi bisnis
2. Mendapatkan dan mempertahankan orang-orang yang terampil dan
termotivasi.