library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2doc/2011-2... · web viewpengertian...
TRANSCRIPT
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Pengertian Evaluasi
Menurut Kamus Besar Bahasa Indonesia(2008), evaluasi adalah
proses penilaian yang sisternatis, mencakup pemberian nilai, atribut,
apresiasi, pengenalan masalah dan pemberian solusi atas permasalahan
yang ditemukan.
Menurut Umar (2005, p36) Evaluasi adalah suatu proses untuk
menyediakan informasi tentang sejauh mana suatu kegiatan tertentu telah
dicapai, bagaimana perbedaan pencapaian itu dengan standar tertentu
untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana
manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-
harapan yang ingin diperoleh.
Jadi secara umum evaluasi adalah menganalisis dan memberi
penilaian serta solusi terhadap masalah yang ditemukan. Serta
menentukan perencanaan evaluasi untuk menetapkan mengapa,
bagaimana, kapan dan oleh siapa proses evaluasi akan dilaksanakan.
8
9
2.1.1.1 Pentingnya Evaluasi
Gondodiyoto (2007, p150), mengemukakan “sistem
informasi (akuntasi) terutama yang berbasis teknologi informasi
perlu dievaluasi (atas efektivitas dan efisiennya) karena berbagai
alasan. Alasan pertama adalah karena lazimnya memerlukan dana
investasi yang sangat besar. Alasan kedua adalah sistem informasi
tersebut melibatkan hampir seluruh posisi kunci dan bahkan
mungkin seluruh anggota organisasi. Alasan lain ialah bahwa
faktor risiko, kontrol internal dan dampak kalau terjadinya
permasalahan akan sangat vital dan kompleks”.
2.1.2 Pengertian Sistem
Menurut Gondodiyoto (2007,p108), “Sistem adalah
kumpulan elemen-elemen atau sumber daya yang saling berkaitan
secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu
dan bertujuan untuk mencapai tujuan tertentu.”
Dari definisi diatas, maka dapat disimpulkan bahwa
pengertian sistem adalah sekumpulan elemen yang saling
berhubungan dan memiliki satu tujuan.
10
2.1.3 Pengertian Informasi
Menurut Gondodiyoto (2007, p110), “Informasi adalah merupakan
data yang sudah diolah menjadi bentuk yang berguna dan lebih berarti
(bermanfaat) bagi penerimanya, menggambarkan suatu kejadian dan
kesatuan nyata yang dapat dipahami dan dapat digunakan untuk
pengambilan keputusan, sekarang maupun masa depan.”
Jadi dapat disimpulkan informasi adalah data yang mengalami
proses sehingga menjadi berguna bagi para pemakai.
Menurut Gondodiyoto (2007, p111) agar informasi lebih berguna
harus memiliki beberapa ciri-ciri:
1. Reliable
Informasi harus terbebas dari adanya kesalahan-kesalahan dan
tidak menyesatkan para users-nya (free from error). Akurat
juga berarti informasi harus jelas mencerminkan maksudnya.
Informasi haruslah bebas dari kesalahan dan harus akurat
dalam mempresentasikan suatu kejadian atau kegiatan dari
suatu organisasi.
2. Relevan
Informasi yang relevan harus memberikan arti kepada para
pengguna, berarti informasi relevan mempunyai manfaat bagi
users-nya (pemakainya). Informasi bisa meningkatkan nilai
dari suatu kepastian, atau mengurangi ketidakpastian.
Relevansi untuk tiap-tiap pihak berbeda bergantung dari
kepentingan masing-masing.
11
3. Timely
Informasi yang disajikan tepat pada saat dibutuhkan dan bisa
mempengaruhi proses pengambilan keputusan. Tepat waktu
berarti informasi yang datang pada penerimanya tidak boleh
terlambat. Informasi yang sudah usang tidak mempunyai nilai
lagi karena informasi yang digunakan sebagai dasar untuk
pengambilan keputusan harus tepat waktu. Informasi yang
terlambat dapat berakibat terlambatnya pengambilan
keputusan atau keputusan tersebut salah karena data untuk
dasar pengambilan keputusan out-of-date.
4. Complete
Informasi yang disajikan lengkap, termasuk di dalamnya
semua data-data yang relevan.
5. Understandable
Informasi yang disajikan hendaknya dalam bentuk yang
mudah dimengerti oleh si pembuat keputusan.
6. Verifiable.
Informasi yang dihasilkan tidak bias, menyebabkan perbedaan
dalam memahaminya.
7. Accessible.
Informasi dikatakan accessible bila tersedia pada saat
diperlukan dalam format yang sesuai dengan kepentingannya.
12
2.1.4 Pengertian Sistem Informasi
Menurut Gondodiyoto (2007, p.112) menyatakan bahwa sistem
informasi dapat di definisikan sebagai kumpulan elemen-elemen sumber
daya dan jaringan prosedur yang saling berkaitan secara terpadu,
terintegrasi dalam suatu hubungan hierarki tertentu dan bertujuan untuk
mengolah data menjadi informasi.
Menurut Hall (2007, p9) sistem informasi (information system)
adalah serangkaian prosedur formal dimana data dikumpulkan, diproses
menjadi informasi dan di distribusikan ke para penggunanya.
Dari definisi diatas, maka dapat disimpulkan bahwa sistem
informasi adalah kumpulan elemen-elemen sumber daya yang saling
berkaitan secara terpadu dan komponen-komponen yang saling
bekerjasama untuk mencapai tujuan tertentu.
2.1.3.1 Tujuan Sistem Informasi
Menurut Hall (2007, p21) tujuan sistem informasi tertentu dapat
saja berbeda antara perusahaan. Akan tetapi, terdapat tiga tujuan dasar
yang umum didapati di semua sistem. Tujuan-tujuan tersebut adalah
sebagai berikut :
1. Mendukung fungsi penyediaan pihak manajemen
Administrasi mengacu pada tanggung jawab pihak manajemen untuk
mengelola dengan baik sumber daya perusahaan. Sistem informasi
menyediakan informasi mengenai penggunaan sumber daya kepada
para pengguna eksternal melalui laporan keuangan tradisional serta
13
berbagai laporan lain yang diwajibkan. Secara internal, pihak
manajemen menerima informasi pelayanan dari berbagai laporan
pertanggungjawaban.
2. Mendukung pengambilan keputusan pihak manajemen
Sistem informasi memberikan informasi kepada pihak manajemen
informasi yang dibutuhkan untuk melaksanakan tanggung jawab
pengambilan keputusan tersebut.
3. Mendukung operasional harian perusahaan
Sistem informasi menyediakan informasi bagi para personel
operasional untuk membantu mereka melaksanakan pekerjaan
hariannya dengan cara yang efisien dan efektif.
2.1.5 Audit Sistem Informasi
2.1.5.1 Pengertian Audit
Menurut I Gusti Agung Rai (2008 ,p29) audit
(auditing) adalah kegiatan membandingkan suatu kriteria
(apa yang seharusnya) dengan kondisi (apa yang
sebenarnya terjadi).
Dari definisi diatas, maka disimpulkan bahwa
pengertian audit adalah suatu kegiatan mengevaluasi
perbandingan antara fakta yang terjadi dengan kriteria yang
14
ditetapkan yang bertujuan untuk mendapatkan hasil yang
dibutuhkan.
2.1.5.2 Pengertian Audit Sistem Informasi
Menurut Report of the Committe on Basic Auditing
Concepts of the American Accounting Association
(Accounting Review, vol.47) yang dikutip oleh buku
“Modern Auditing” memberikan definisi auditing sebagai
“suatu proses sistematis untuk memperoleh serta
mengevaluasi bukti secara objektif mengenai asersi-asersi
kegiatan dan peristiwa ekonomi, dengan tujuan
menetapkan derajat kesesuaian antara asersi-asersi tersebut
dengan kriteria yang telah ditetapkan sebelumnya serta
penyampaian hasil-hasilnya kepada pihak-pihak yang
berkepentingan”.
Menurut bukunya, Gondodiyoto (2007)
berpendapat bahwa ada beberapa pengertian tentang
definisi audit sistem informasi, yaitu :
1. (2007, p60) “Audit sistem informasi atau sering
disebut audit teknologi informasi (TI), ialah
pemeriksaan terhadap aspek-aspek TI pada sistem
informasi akutansi.
15
2. (2007, p442) Audit sistem informasi adalah “ proses
pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah suatu sistem aplikasi
komputerisasi telah menetapkan dan menerapkan
sistem pengendalian intern yang memadai, semua
aktiva dilindungi dengan baik/tidak disalahgunakan
serta terjaminnya integrasi data, keandalan serta
efektifitas dan efisiensi penyelenggaraan sistem
informasi berbasis komputer tersebut.”
3. (2007, p443) “Audit sistem informasi dimaksudkan
untuk mengevaluasi tingkat kesesuaian antara sistem
informasi dengan prosedur bisnis (business processes)
perusahaan untuk kebutuhan pengguna (user needs),
untuk mengetahui apakah suatu sistem informasi telah
didesain dan diimplementasikan secara efektif, efisien,
dan ekonomis, memiliki mekanisme pengamanan aset,
serta menjamin integritas data yang memadai.”
Jadi bisa disimpulkan bahwa audit sistem
informasi adalah suatu proses pengumpulan dan
pengevaluasian terhadap sistem informasi berdasarkan
prosedur pengendalian yang telah ditetapkan untuk
menentukan apakah suatu sistem komputer dapat
16
melindungi aset, memelihara integritas data, mencapai
tujuan organisasi secara efektif dan menggunakan
sumber daya secara efisien yang memberikan manfaat
bagi perusahaan secara maksimal.
2.1.5.3 Jenis-Jenis Audit
Menurut Gondodiyoto (2009, p4), Berikut ini dapat
disimpulkan jenis-jenis audit, sebagai berikut :
1. Berdasarkan bidang yang diaudit :
a. Audit keuangan (Financial Audit)
Menurut Gondodiyoto (2009, p6), audit keuangan
adalah suatu proses pemeriksaan oleh orang-orang
yang mampu (kompeten) dan independen, dengan
menghimpun dan mengevaluasi bukti–bukti dan
keterangan yang terukur suatu kesatuan ekonomi,
dengan tujuan untuk mempertimbangkan dan
melaporkan tingkat kesesuaian dari keterangan
terukur yang diperoleh dari pemeriksaannya tersebut
dengan kriteria yang telah ditetapkan.
17
b. Audit operasional/manajemen (Operational
Management Audit)
Menurut Gondodiyoto (2009, p255) audit
operasional merupakan a management service (jasa
yang dilaksanakan untuk kepentingan atau on behalf
of top management), bertujuan untuk mengevaluasi
praktik pelaksanaan :
1. Planning,
2. Organizing,
3.Directing,
4.Controlling perusahaan.
c. Audit ketaatan (Compliance Audit)
Menurut Gondodiyoto (2009, p21) audit ketaatan
adalah pemeriksaan apakah klien/nasabah telah
mengikuti prosedur atau peraturan tertentu yang
telah ditetapkan oleh yang berwenang.
d. Audit Sistem Informasi (Information Systems
Audit)
Menurut Weber (1999, p10) audit sistem informasi
adalah proses pengumpulan dan evaluasi bukti–
bukti untuk menentukan apakah sistem komputer
yang digunakan telah dapat melindungi aset milik
18
organisasi, mampu menjaga integritas data, dapat
membantu perncapaian tujuan organisasi secara
efektif serta menggunakan sumber daya yang
dimiliki secara efisien.
e. Audit e-Commerce
Menurut Gondodiyoto (2007, p75) audit e-
Commerce adalah kegiatan jasa yang ditekankan
pada beberapa hal seperti perlunya keyakinan atas
keandalan transaksi dan perlindungan atas informasi.
f. Investigatif Audit dan Audit Forensic / Fraud Audit
Menurut Gondodiyoto (2009, p41) audit investigatif
adalah suatu penyelidikan yang berlandaskan pada
hukum dan rasa keadilan untuk mencari kebenaran
dengan tingkat keyakinan tinggi.
Menurut Gondodiyoto (2009, 43) fraud auditing
adalah merupakan proses audit yang memfokuskan
pada keanehan/ keganjilan (sesuatu yang nampaknya
di luar kebiasaan kemudiaan menelusuri dan
mendalami transaksi untuk merekonstruksi
bagaimana terjadinya dan apa yang mengikuti
transaksi tersebut).
19
2. Berdasarkan auditornya :
a. Auditor ekstern independen (akuntan publik)
b. Auditor internal (perusahaan)
c. Auditor di lingkungan instansi–instansi pemerintah
d. Auditor perpajakan
2.1.5.4 Tujuan Audit Sistem Informasi
Menurut Gondodiyoto (2007, p474) tujuan audit sistem
informasi, yaitu :
1. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras
(hardware), perangkat lunak (software), sumber daya
manusia (brandware), file data dan fasilitas lain harus di
jaga dengan sistem pengendalian intern yang baik agar
tidak terjadi penyalahgunaan aset perusahaan. Dengan
demikian sistem pengamanan aset merupakan suatu hal
yang sangat penting yang harus di penuhi oleh
perusahaan
2. Efektifitas Sistem
Effektifitas sistem perusahaan memiliki peranan penting
dalam proses pengambilan keputusan. Suatu sistem
informasi dapat dikatakan efektif bila sistem sinformasi
tersebut sudah di rancang dengan benar (doing the right
20
thing), telah sesuai dengan kebutuhan user. Informasi
yang di butuhkan oleh para manager dapat dipenuhi
dengan baik.
3. Efisiensi Sistem
Efisiensi menjadi sangat penting ketika sumber daya
kapasitasnya terbatas. Jika cara kerja dari sistem
aplikasi komputer menurun maka pihak manajemen
harus mengevaluasi apakah efisiensi sistem masih
memadai atau harus menambah sumber daya, karena
suatu sistem dikatakan efisien jika sistem informasi
dapat memenuhi kebutuhan user dengan sumber daya
informasi yang minimal. Cara sistem kerja benar (doing
the right thing).
4. Ketersediaan
Berhubungan dengan ketersediaan dukungan atau
layanan teknologi informasi (TI). TI hendaknya dapat
mendukung secara continue terhadap proses bisnis
(kegiatan perusahaan). Makin sering terjadi gangguan
(System Down) maka berarti tingkat ketersediaan sistem
lemah.
21
5. Kerahasiaan
Fokusnya ialah pada proteksi terhadap informasi dan
supaya terlindungi dari akses dari pihak pihak yang
tidak berwenang.
6. Kehandalan
Berhubungan dengan kesesuaian dan keakuratan bagi
manajemen dalam pengelolaan organisasi, pelaporan
dan pertanggungjawaban.
7. Menjaga integritas data
Integritas data (data intregity) adalah salah satu konsep
dasar dari sistem informasi. Data memiliki atribut
atribut seperti : kelengkapan, kebenaran, dan
keakuratan.
22
2.1.6 UML Activity Diagram
Menurut Jones dan Rama yang diterjemahkan oleh M. Slamet
Wibowo (2008, p64), UML activity diagram mempunyai peranan penting
dari suatu “peta (map)” di dalam memahami proses bisnis dengan
menunjukkan urutan aktivitas pada proses.
Menurut Jones dan Rama (2008, p61), activity diagram dibagi
menjadi dua yaitu:
a) Overview Activity Diagram
Menurut Jones dan Rama yang diterjemahkan oleh
M. Slamet Wibowo (2008, p64), overview activity
diagram adalah diagram yang menampilkan gambran level
tertinggi dari proses bisnis dengan mendokumendasikan
event-event yang penting, urutan event-event tersebut, dan
aliran informasi yang menyertai event tersebut.
Menurut Jones dan Rama yang diterjemahkan oleh
M. Slamet Wibowo (2008, p65), dalam menyiapkan
overview activity diagram terdapat langkah-langkah
sebagai berikut:
1. Membaca narasi dan mengidentifikasi event-event
yang penting.
2. Mencatat narasi secara jelas untuk
mengidentifikasi event-event yang terlibat di
dalamnya.
23
3. Menggambarkan agen (aktor) yang terlibat dalam
proses bisnis yang terjadi.
4. Membuat diagram masing-masing event dan
menunjukkan urutan event yang terjadi.
5. Menggambarkan dokumen yang dibuat dan
digunakan dalam proses bisnis, serta
menggambarkan aliran informasi dari dokumen
tersebut.
6. Menggambarkan table files yang dibuat dan
digunakan dalam proses bisnis, serta
menggambarkan aliran informasi dari files
tersebut.
b) Detailed Activity Diagram
Menurut Jones dan Rama yang diterjemahkan oleh
M. Slamet Wibowo (2008, p64), detailed activity diagram
adalah diagram yang menggambarkan aktivitas yang
saling berhubungan secara detail atau rinci dengan satu
atau dua event yang terdapat pada overview diagram.
Menurut Jones dan Rama yang diterjemahkan oleh
M. Slamet Wibowo (2008, p65), simbol-simbol yang
digunakan dalam activity diagram adalah:
24
1. Swimlane
Swimlane adalah sebuah kolom dalam activity
diagram yang memisahkan aktivitas atau event
berdasarkan orang atau departemen yang
bertanggung jawab atas aktivitas atau event yang
berhubungan. Agen-agen diluar organisasi (seperti
konsumen) ditampilkan dalam swimlane. Sistem
komputer digunakan untuk mencatat dan
memproses data SIA ditampilkan dalam sebuah
swimlane.
2. A Solid Circle
Sebuah lingkaran berisi menunjukkan awal dari
proses. Ini muncul dalam swimlane agen (dalam
maupun luar perusahaan) yang memulai proses.
3. Rounded Rectangle
Event, aktivitas, atau penggerak yang terjadi dalam
aktivitas diagram.
4. Countinous Line
Garis panah menunjukkan urutan dari event.
25
5. Document
Kita menggunakan simbol dokumen untuk
menampilkan dokumen sumber dan laporan-
laporan.
6. Dotted Line
Garis panah putus-putus menunjukkan arus
informasi antara event. Garis putus-putus
digunakan untuk menghubungkan event dan table
untuk menunjukkan bagaimana table data dibuat
dan digunakan oleh event.
7. Table
Data dapat dibaca dari atau dicatat dalam komputer
selama event bisnis.
8. Bull’s-eye
Sebuah sasaran menunjukkan akhir dari proses.
26
2.1.7 Sistem Pengendalian Internal
2.1.7.1 Pengertian Sistem Pengendalian Internal
Menurut Gondodiyoto (2007, p250) Pengendalian
internal atau pengawasan internal “pada hakekatnya adalah
suatu mekanisme yang didesain untuk menjaga (preventif),
mendeteksi (detektif) dan memberikan mekanisme
pembetulan (korektif) terhadap potensi/kemungkinan
terjadinya kesalahan, kekeliruan, kelalaian (error) maupun
penyalahgunaan (kecurangan,fraud).
Menurut Cangemi (2007, p65-66) ”Internal control
sistem is the policies, practices, and procedures, and tools
designed to :
(1) Safeguarding asets,
(2) Ensure accuracy and reliability of data captured and
information products,
(3)Promote efficiency,
(4) Measure compliance with corporate policies,
(5) Measure compliance with regulation, and
(6) Manage the negative events and effect from fraud,
crime, and deleterious activities.”
27
Yang jika di artikan adalah Sistem kontrol internal adalah
kebijakan, praktik dan prosedur dan alat yang dirancang
untuk :
(1) Menjaga aset.
(2) Memastikan keakuratan dan keandalan pendapatan
data danproduk informasi.
(3) Meningkatkan efisiensi.
(4) Mengukur kepatuhan atas kebijakan perusahaan.
(5) Mengukur kecocokan dengan regulasi.
(6) Mengelola kejadian yang tidak diinginkan dan efek
dari penipuan, kejahatan dan kegiatan lain yang
merusak.
Berdasarkan pengertian diatas dapat disimpulkan
bahwa sistem pengendalian internal meliputi metode dan
kebijakan yang terkordinasi didalam perusahaan untuk
mengamankan kekayaan perusahaan, menguji ketepatan,
ketelitian, keandalan catatan atau data akutansi serta untuk
mendorong ditaatinya kebijakan manajemen.
28
Menurut Gondodiyoto (2007, p250) pengendalian
internal dapat dibedakan berdasarkan sifatnya, yaitu :
1. Preventive control, yaitu pengendalian intern yang
dirancang dengan maksud untuk mengurangi
kemungkinan atau mencegah/menjaga jangan sampai
terjadi kesalahan kekeliruan/kelalaian (error) maupun
penyalahgunaan kecurangan (fraud). Contoh jenis
pengendalian ini ialah misalnya desain formulir yang
baik, itemnya lengkap, mudah diisi, serta user training
atau pelatihan kepada orang-orang yang berkaitan
dengan input system, sehingga mereka tidak melakukan
kesalahan.
2. Detection controls, adalah pengendalian yang didesain
dengan tujuan agar apabila data rekaman (di-entry)/
konversi dari media sumber (media input) untuk
ditransfer ke sistem komputer dapat dideteksi bila terjadi
kesalahan (maksudnya tidak sesuai dengan kriteria yang
ditetapkan). Contoh jenis pengendalian ini ialah
misalnya jika seseorang mengambil uang di ATM, maka
seharusnya program komputer mendeteksi jika dana
tidak cukup, atau saldo minimal tidak mencukupi, atau
melebihi jumlah maksimal yang diijinkan untuk
pengambilan tiap harinya.
29
3. Corrective control, ialah pengendalian yang sifatnya jika
terdapat data yang sebenarnya error tetapi tidak
terdeteksi oleh detection controls, atau data yang error
yang terdeteksi oleh program validasi, harus ada
prosedur yang jelas tentang bagaimana melakukan
pembetulan terhadap data yang salah dengan maksud
untuk mengurangi kemungkinan kerugian kalau
kesalahan/ penyalahgunaan tersebut sudah benar-benar
terjadi.
2.1.7.2 Tujuan Sistem Pengendalian Internal
Menurut Gondodiyoto (2007, p260) system control
atau pengendalian internal komputerisasi memiliki
beberapa tujuan, diantaranya :
1. Meningkatkan pengamanan (improve safeguard) asets
sistem informasi data/catatan akutansi (accounting
records) yang bersifat logical assets, maupun physical
asets seperti hardware, infrastructures dan sebagainya.
2. Meningkatkan integritas data (improve data integrity),
sehingga dengan data yang benar dan konsisten akan
dapat dibuat laporan yang benar.
3. Meningkatkan efektifitas sistem (improve system
effectiveness).
30
4. Meningkatkan efisiensi sistem (improve system
efficiency).
2.1.7.3 Unsur-Unsur Sistem Pengendalian Internal
Menurut Gondodiyoto (2007, p478) Sistem
pengendalian Internal (Internal Control) terdiri dari
beberapa komponen yaitu:
1. Separation of duties (pemisahan tugas /fungsi).
2. Delegation of authority and responsibility (pembagian
wewenang dan tanggung jawab).
3. Competent and trustworthy personnel (pegawai yang
terlatih/ cakap dan dapat dipercaya).
4. Sistem of authorization (otorisasi).
5. Adequate document and records (pencatatan dan
dokumentasi yang memadai).
6. Physical control over asets and records (kontrol antara
catatan dengan harta secara fisik yang ada).
7. Adequate management supervision (pemeriksaan terhadap
kinerja oleh pihak luar organisasi).
31
2.1.8 CobIT
2.1.8.1 Pengertian CobIT
Menurut Gondodiyoto (2007, p274-275), CobIT
adalah sekumpulan dokumentasi best practices untuk IT
governance yang dapat membantu auditor, pengguna
(user), dan manajemen, untuk menjembatani gap antara
risiko binis, kebutuhan kontrol dan masalah-masalah
teknis TI.
CobIT dapat diartikan sebagai tujuan pengendalian
untuk informasi dan teknologi terkait dan merupakan
standar terbuka untuk pengendalian terhadap teknologi
informasi yang dikembangkan dan dipromosikan oleh
Institute IT Governance.
CobIT pertama sekali diperkenalkan pada tahun
1996 adalah merupakan alat (tool) yang disiapkan untuk
mengatur teknologi informasi (IT Governance tool).
CobIT telah dikembangkan sebagai sebuah aplikasi
umum dan telah diterima menjadi standar yang baik bagi
praktek pengendalian dan keamanan TI yang menyediakan
sebuah kerangka kerja bagi pengelola, user, audit sistem
informasi, dan pelaksana pengendalian dan keamanan.
CobIT di terbitkan oleh Institute IT Governance.
Pedoman CobIT memungkinkan perusahaan untuk
mengimplementasikan pengaturan TI secara efektif dan
32
pada dasarnya dapat diterapkan di seluruh organisasi.
Khususnya, komponen pedoman manajemen CobIT yang
berisi sebuah respon kerangka kerja untuk kebutuhan
manajemen bagi pengukuran dan pengendalian TI dengan
menyediakan alat-alat untuk menilai dan mengukur
kemampuan TI perusahaan untuk 34 proses TI CobIT.
Alat-alat tersebut yaitu :
1. Elemen pengukuran kinerja (pengukuran hasil dan
kinerja yang mengarahkan bagi seluruh proses TI).
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan
secara ringkas, praktek terbaik non-teknis dari tiap
proses TI.
3. Model maturity untuk membantu dalam bench marking
dan pengambilan keputusan bagi peningkatan
kemampuan.
Komponen CobIT terdiri dari Executive Summary,
Framework, Control Objective, Audit Guidelines,
Implementation Tool Set, Management Guidelines.
33
2.1.8.2 Misi dan Visi CobIT
CobIT memiliki misi melakukan riset,
mengembangkan, mempublikasikan dan mempromosikan
makalah-makalah, serta mengupdate tatanan atau ketentuan
TI controls objective yang dapat diterima umum (generally
accepted control Objective) berikut panduan pelengkap
yang dikenal sebagai Audit Guidelines yang
memungkinkan penerapan framework dan control
Objective dapat berjalan mudah. Tatanan atau ketentuan
tersebut selanjutnya digunakan oleh para manajer dunia
usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari CobIT adalah dijadikan CobIT
sendiri sebagai satu-satunya model pengurusan dan
pengendalian teknologi informasi (Information Technology
Governance).
CobIT merupakan IT governance best practices
yang membantu auditor, manajemen, pengguna (user)
untuk menjembatani aspek bisnis, kebutuhan kontrol dan
aspek teknis TI. CobIT memberikan arahan (guidelines)
yang berorientasi pada bisnis, dan karena itu business
process owners dan manajer, termasuk juga auditor dan
users, diharapkan dapat memanfaatkan guidelines ini
dengan baik.
34
Menurut Gondodiyoto (2007, p279) kerangka
kerja CobIT terdiri atas beberapa arahan (guidelines)
yaitu:
1. Control Objective
Terdiri atas 4 tujuan pengendalian tingkat tinggi
(high-level control Objective) yang tercermin dalam 4
domain, yaitu: planning & organization, acquisition &
implementation, delivery & support, dan monitoring and
evaluate
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian
rinci (detailed control Objective) untuk membantu para
auditor dalam memberikan management assurance dan
atau saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun
spesifik, mengenai apa saja yang mesti dilakukan,
terutama agar dapat menjawab pertanyaan-pertanyaan
berikut:
a) Sejauh mana TI harus bergerak dan apakah biaya TI
yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya?
35
b) Apa saja indikator untuk suatu kinerja yang bagus?
c) Apa saja faktor atau kondisi yang harus diciptakan
agar dapat mencapai sukses (critical success
faktors)?
d) Apa saja risiko yang timbul bila sasaran yang
ditentukan tak tercapai?
e) Bagaimana dengan perusahaan Bagaimana dengan
perusahaan lainnya, apa yang mereka lakukan?
f) Bagaimana mengukur keberhasilan dan menilainya?
Konsep dasar dari kerangka kerja CobIT adalah
bahwa kontrol terhadap sistem informasi dapat
ditentukan dengan cara menentukan informasi-informasi
yang dibutuhkan untuk mendukung objektif bisnis.
Setelah informasi ini ditentukan kemudian
ditentukan sebuah kebijakan kontrol terhadap informasi-
informasi ini. Informasi yang dikontrol adalah informasi
tentang sumber daya yang terkait dengan proses-proses
sistem informasi.
36
Gambar 2.1 Product CobIT
Sumber: ITGI- CobIT 4.1 Excrept(2007, p26)
37
2.1.8.3 Domain Plan and Organize (PO)
1. Control Objective PO1 (Define a Strategic IT Plan)
2. Control Objective PO2 (Define the Information
Architecture)
3. Control Objective PO3 (Determine Technological
Direction)
4. Control Objective PO4 (Define the IT Processes,
Organization and Relationship)
5. Control Objective PO5 (Manage the IT Investment)
6. Control Objective PO6 (Communicate Management
Aims and Direction)
7. Control Objective PO7 (Manage IT Human Resources)
8. Control Objective PO8 (Manage Quality)
9. Control Objective PO9 (Assess and Manage IT Risks)
10. Control Objective PO10 (Manage Projects)
2.1.8.4 Domain Acquire and Implement (AI)
1. Control Objective AI1 (Identify Automated Solutions)
2. Control Objective AI2 (Acquire and Maintain
Application Software)
3. Control Objective AI3 (Acquire and Maintain
Technology Infrastructure)
4. Control Objective AI4 (Enable Operation and Use)
5. Control Objective AI5 (Procure IT Resoureces)
38
6. Control Objective AI6 (Manage Changes)
7. Control Objective AI7 (Install and Accredit Solutions
and Changes)
2.1.8.5 Domain Delivery and Support (DS)
1. Control Objective DS1 (Define and Manage Service
Levels)
2. Control Objective DS2 (Manage Thrird-Party Services)
3. Control Objective DS3 (Manage Performance and
Capacity)
4. Control Objective DS4 (Ensure Continuous services)
5. Control Objective DS5 (Ensure Sistems Security)
6. Control Objective DS6 ( Identify and Allocate Costs)
7. Control Objective DS7 (Educate and Train Users)
8. Control Objective DS8 (Manage Services Desk and
Incidents)
9. Control Objective DS9 (Manage the Configuration)
10. Control Objective DS10 (Manage Problems)
11. Control Objective DS11 (Manage Data)
12. Control Objective DS12 (Manage the Physical
Environment)
13. Control Objective DS13 (Manage Operations
39
2.1.8.6 Domain Monitor and Evaluate (ME)
1. Control Objective ME1 (Monitor and Evaluate IT
Performance)
2. Control Objectives ME2 (Monitor and Evaluate
Internal Control)
3. Control Objectives ME3 (Ensure Compliance With
External Requirments)
4. Control Objective ME4 (Provide IT Governance)
Dengan demikian dapat disimpulkan sumber daya
TI (IT Resources) dikelola oleh proses TI (IT Processes)
untuk mencapai tujuanTI yang menanggapi tujuan bisnis.
Secara keseluruhan, CobIT dapat dipandang sebagai sebuah
kubus yang terdiri dari 3 dimensi yaitu: Information
Criteria, IT Resource, dan IT Processes.
40
Gambar 2.2 : Kubus CobIT
Sumber : ITGI-CobIT 4.1th edition (2007, p25)
41
2.1.8.7 IT Resource
IT Resource adalah sumber daya yang berkaitan dengan
Teknologi Informasi. IT resource terdiri dari beberapa hal
sebagai berikut:
1. Application
Application meliputi aplikasi yang
digunakan untuk mengelola informasi dalam
menjalankan proses bisnis.
2. Information
Information merupakan data yang di-input,
diproses dan dihasilkan oleh sistem informasi
untuk bisnis.
3. Infrastructure
Infrastrucuture merupakan teknologi yang
mendukung proses aplikasi. Contohnya: perangkat
keras, sistem operasi, sistem manajemen database,
jaringan, multimedia serta perangkat lainnya yang
mendukung.
4. People
Orang merupakan personil yang dibutuhkan
untuk merencanakan, mengorganisasi,
42
memperoleh, mengimplementasi, memberikan,
mendukung, memonitor dan mengevaluasi sistem
informasi.
2.1.8.8 Information Criteria
Untuk mencapai tujuan organisasi secara memuaskan,
informasi harus memenuhi beberapa kriteria. CobIT telah
menetapkan kriteria tersebut dengan merujuk pada
kebutuhan informasi di organisasi atau perusahaan. CobIT
mengkombinasikan beberapa prinsip penyusunan
informasi berdasarkan model-model yang sudah ada, dan
merumuskannya kedalam tiga kategori utama, yaitu:
kualitas (quality), tanggung jawab fidusier (fiduciary
responsibility) dan keamanan (security).
Berdasarkan tiga persyaratan di atas, muncul tujuh
kategori yang saling terkait satu sama lain, dan dijadikan
sebagai kriteria untuk mengevaluasi sumber daya
teknologi informasi yang dapat memenuhi kebutuhan
organisasi atau perusahaan akan suatu informasi. Kriteria
dimaksud adalah :
a) Efektivitas (Effectiveness), untuk memperoleh
informasi yang relevan dan berhubungan dengan
proses bisnis seperti penyampaian informasi
43
dengan benar, konsisten, dapat dipercaya dan
tepat waktu.
b) Efisiensi (Efficiency), memfokuskan pada
ketentuan informasi melalui penggunaan sumber
daya yang optimal.
c) Kerahasiaan (Confidentiality), memfokuskan
proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otorisasi.
d) Integritas (Integrity), berhubungan dengan
informasi yang tersedia ketika diperlukan dalam
proses bisnis sekarang dan yang akan datang.
e) Ketersediaan (Availability), berhubungan dengan
informasi yang tersedia ketika diperlukan dalam
proses bisnis sekarang dan yang akan datang.
f) Kepatuhan (Compliance), sesuai menurut hukum,
peraturan dan rencana perjanjian untuk proses
bisnis
44
g) Keakuratan informasi (Reliability of Information),
berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan
entitas dan mengatur pelatihan keuangan dan
kelengkapan laporan pertanggung jawaban.
2.1.8.9 IT Proccess
Kerangka kerja CobIT terdiri atas kontrol objektif dan
semua struktur yang sesuai dengan klasifikasinya.
CobIT merupakan panduan yang paling lengkap
dari praktik-praktik terbaik untuk manajemen TI yang
mencakup empat domain, yaitu: perencanaan dan
organisasi, akuisisi dan implementasi, penyerahan dan
dukungan TI dan monitor.
CobIT Framework mencakup tujuan pengendalian
yang terdiri dari 4 domain yaitu:
1. Plan & Organize
Yaitu mencakup pembahasan tentang identifikasi
dan strategi investasi TI yang dapat memberikan
yang terbaik untuk mendukung pencapaian
tujuan bisnis. Selanjutnya identifikasi dan visi
strategis perlu direncanakan, dikomunikasikan,
dan diatur pelaksanaannya (dari berbagai
perspektif).
45
2. Acquire & Implement
Yaitu untuk merealisasikan strategi TI, perlu
diatur kebutuhan TI, diidentifikasi,
dikembangkan, atau diimplementasikan secara
terpadu dalam proses bisnis perusahaan.
3. Delivery & Support
Domain ini lebih dipusatkan pada ukuran tentang
aspek dukungan TI terhadap kegiatan operasional
bisnis (tingkat jasa layanan TI actual atau service
level) dan aspek urutan (prioritas implementasi
dan untuk pelatihannya).
4. Monitor & Evaluate
Yaitu semua proses TI yang perlu dinilai secara
berkala agar kualitas dan tujuan dukungan TI
tercapai, dan kelengkapannya berdasarkan pada
syarat internal kontrol yang baik.
46
2.1.8.10 CobIT Measurement Driven
Gondodiyoto (2007, p66-68), menyatakan bahwa
pendekatan yang sering dipakai untuk melakukan penilaian
terhadap pengelolaan suatu sistem informasi adalah dengan
menggunakan konsep Maturity Model yang dikembangkan
oleh ISACA.
Mengerti akan status sistem TI perusahaan dan untuk
memutuskan tingkat manajemen dan pengendalian yang
harus disediakan merupakan suatu kebutuhan dasar bagi
perusahaan. Perusahaan perlu untuk mengukur posisi tingkat
manajemen mereka.
Maturity model dapat membantu pihak professional untuk
dapat menjelaskan kepada manajemen perusahaan mengenai
posisi dari tatakelola TI yang ada di perusahaan saat ini dan
dapat menentukan target untuk masa yang akan datang.
Tingkat maturity dapat dipengaruhi oleh tujuan bisnis
perusahaan, lingkungan operasional dan lingkungan industri.
Lebih spesifik lagi, tingkat maturity tata kelola TI
tergantung pada seberapa besar tingkat ketergantungan
perusahaan terhadap penggunaan TI, kesempurnaan dari TI
yang ada dan yang paling penting seberapa bernilainya suatu
informasi dalam perusahaan tersebut.
47
CobIT menyediakan ukuran-ukuran untuk setiap
proses yang dapat digunakan oleh manajemen teknologi
informasi untuk menetukan kinerja IT Governance yang
dimiliki. Ukuran-ukuran tersebut antara lain:
1. Maturity Model
Maturity model pada CobIT digunakan untuk menentukan
pilihan strategi yang akan digunakan dan melakukan
perbandingan dengan standar yang ada. Maturity Model
pada CobIT digunakan untuk membantu manajemen dalam
mengidentifikasi hal-hal sebagai berikut:
a. Kinerja yang sebenarnya pada organisasi, untuk
melihat posisi organisasi saat ini.
b. Status industri pada saat ini, sebagai bahan
pertimbangan.
c. Target perusahaan untuk pengembangan lebih lanjut,
yaitu menyatakan level yang ingin dicapai oleh
perusahaan.
d. Pertumbuhan yang diperlukan saat ini dan yang akan
datang.
48
Maturity model pada CobIT terdapat enam level penilaian seperti pada gambar
berikut:
Gambar 2.3 : Maturity Model pada CobIT
Sumber: ITGI-CobIT 4.1th edition (2007, p18)
49
Setiap proses pada CobIT terdapat skala penilaian
berdasarkan deskripsi maturity model secara umum seperti
di bawah ini:
a) Level 0 Non-Existent
Pengelolaan teknologi informasi atau sistem
informasi masih dalam tahap paling awal, masih
pemula. Setiap proses belum terdefinisi dengan
baik. Organisasi belum menyadari adanya
persoalan yang perlu untuk ditangani.
b) Level 1 Initial
Organisasi telah menyadari adanya persoalan
yang perlu untuk ditangani, tetapi belum ada standar
proses yang harus dilakukan. Penanganan persoalan
dilakukan berdasarkan kasus-kasus yang muncul.
Secara umum manajemen masih belum terorganisasi.
Pengelolaan yang tidak menentu, tidak dikelola dengan
baik, tidak ada dokumentasi, proyek terkadang
melebihi deadline dan tidak terencana.
50
c) Level 2 Repeatable
Proses telah dikembangkan pada tahap ini
sehingga telah dilakukan prosedur yang sejenis untuk
kegiatan yang sama. Belum ada prosedur standar yang
diterapkan dan tanggung jawab merupakan tanggung
jawab individu. Pada level ini, perusahaan mulai sadar
akan pentingnya kualitas. Tidak hanya kualitas pada
software sebagai ‘produk’ tapi juga kualitas pada cara
penanganan proyek. Mulai memperhitungkan
kelayakan proyek terhadap kemampuan organisasi
(perusahaan).
d) Level 3 Defined
Prosedur telah distandarisasi,
didokumentasikan, dan dikomunikasikan melalui
pelatihan. Tahap ini mulai mengenal metodologi
pengembangan sistem dan masih sangat tergantung
individu apakah mengikuti standar yang ada maupun
tidak tetapi telah ada formalisasi untuk setiap kegiatan.
51
e) Level 4 Managed and Measureable
Pada tahap ini manajemen mengawasi dan
mengukur hal-hal yang telah dipenuhi dengan
prosedur, serta mengambil tindakan ketika proses tidak
berjalan dengan efektif. Proses-proses yang ada
merupakan bagian dari pengembangan yang konstan.
Pada tahap ini telah dilakukan otomatisasi tetapi masih
terbatas dan terpisah-pisah.
f) Level 5 Optimized
Proses yang ada telah disesuaikan dengan best
practice, berdasarkan hasil pengembangan secara terus
menerus dengan organisasi lain. Teknologi Informasi
digunakan sebagai bagian yang terintegrasi dengan
aliran kerja, sebagai alat bantu untuk meningkatkan
kualitas dan efektifitas, dan membuat organisasi dapat
cepat untuk beradaptasi.
52
2. Critical Success Faktor
Critical Success Faktor menyediakan petunjuk untuk
implementasi control TI dan proses didalamnya. Pada
bagian ini disebutkan hal-hal yang perlu dilakukan agar
proses TI dapat mencapai tujuannya.
3. Key Goal Indicators
Key Goal Indicators mendefinisikan ukuran-ukuran
yang akan memberikan gambaran kepada manajemen
apakah proses-proses TI yang ada telah memenuhi
kebutuhan proses bisnis yang ada.
53
2.1.9 Sistem Informasi Persediaan
2.1.9.1 Pengertian Persediaan
Menurut Siagian (2007, p161) persediaan
merupakan bahan baku atau barang yang disimpan
untuk tujuan tertentu, antara lain untuk proses produksi,
jika berupa bahan mentah maka akan diproses lebih
lanjut, jika berupa komponen (spare part) maka akan
dijual kembali menjadi barang dagangan.
Menurut Herjanto (2007, p237) persediaan adalah
bahan baku atau barang yang disimpan yang akan
digunakan untuk memenuhi tujuan tertentu, misalnya untuk
digunakan dalam proses produksi atau perakitan, untuk
dijual kembali, atau untuk suku cadang dari suatu peralatan
atau mesin. Persediaan dapat berupa bahan mentah, barang
dalam proses, barang jadi, ataupun suku cadang.
2.1.9.2 Fungsi Persediaan
Menurut Herjanto (2007, p238) fungsi penting dari
persediaan dalam memenuhi kebutuhan perusahaan adalah
sebagai berikut:
1. Menghilangkan risiko keterlambatan pengiriman bahan
baku atau barang yang dibutuhkan perusahaan.
2. Menghilangkan risiko jika material yang dipesan tidak
baik sehingga harus dikembalikan.
54
3. Menghilangkan risiko terhadap kenaikan harga barang
atau inflasi.
4. Untuk menyimpan bahan baku yang dihasilkan secara
musiman sehingga perusahaan tidak akan kesulitan jika
bahan itu tidak tersedia di pasaran.
5. Mendapatkan keuntungan dari pembelian berdasarkan
diskon kuantitas.
6. Memberikan pelayanan kepada pelanggan dengan
tersediannya barang yang diperlukan.
2.1.9.3 Jenis Persediaan
Secara umum menurut Siagian (2007, p164)
persediaan dapat dibedakan dalam beberapa jenis, antara
lain sebagai berikut:
1. Raw material
Persediaan ini disebut juga persediaan bahan mentah.
Persediaan bahan baku adalah bahan atau barang yang
akan diproses lebih lanjut menjadi barang jadi.
2. Work in Process
Persediaan barang dalam proses merupakan persediaan
yang telah mengalami perubahan, tetapi belum selesai.
3. Supplies Inventory
Supplies Inventory adalah persediaan yang berfungsi
sebagai penunjang dalam proses operasi atau produksi
55
agar berjalan lancar. Misalanya spare part untuk
pemeliharaan mesin-mesin, alat-alat kantor seperti
kertas, tinta, dan pena.
4. Merchandise Inventory
Persediaan jenis ini merupakan persediaan yang akan
dijual kembali sebagai barang dagangan. Misalnya,
persediaan radio tape ada perusahaan mobil, radio tape
dibeli dari perusahaan lain yang akan dijual kembali
bersamaan dengan mobil yang menjadi produk
utamanya.