BAB 2

LANDASAN TEORI

2.1 Teori Umum

2.1.1 Pengertian Evaluasi

Menurut Kamus Besar Bahasa Indonesia(2008), evaluasi adalah

proses penilaian yang sisternatis, mencakup pemberian nilai, atribut,

apresiasi, pengenalan masalah dan pemberian solusi atas permasalahan

yang ditemukan.

Menurut Umar (2005, p36) Evaluasi adalah suatu proses untuk

menyediakan informasi tentang sejauh mana suatu kegiatan tertentu telah

dicapai, bagaimana perbedaan pencapaian itu dengan standar tertentu

untuk mengetahui apakah ada selisih diantara keduanya, serta bagaimana

manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-

harapan yang ingin diperoleh.

Jadi secara umum evaluasi adalah menganalisis dan memberi

penilaian serta solusi terhadap masalah yang ditemukan. Serta

menentukan perencanaan evaluasi untuk menetapkan mengapa,

bagaimana, kapan dan oleh siapa proses evaluasi akan dilaksanakan.

8

9

2.1.1.1 Pentingnya Evaluasi

Gondodiyoto (2007, p150), mengemukakan “sistem

informasi (akuntasi) terutama yang berbasis teknologi informasi

perlu dievaluasi (atas efektivitas dan efisiennya) karena berbagai

alasan. Alasan pertama adalah karena lazimnya memerlukan dana

investasi yang sangat besar. Alasan kedua adalah sistem informasi

tersebut melibatkan hampir seluruh posisi kunci dan bahkan

mungkin seluruh anggota organisasi. Alasan lain ialah bahwa

faktor risiko, kontrol internal dan dampak kalau terjadinya

permasalahan akan sangat vital dan kompleks”.

2.1.2 Pengertian Sistem

Menurut Gondodiyoto (2007,p108), “Sistem adalah

kumpulan elemen-elemen atau sumber daya yang saling berkaitan

secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu

dan bertujuan untuk mencapai tujuan tertentu.”

Dari definisi diatas, maka dapat disimpulkan bahwa

pengertian sistem adalah sekumpulan elemen yang saling

berhubungan dan memiliki satu tujuan.

10

2.1.3 Pengertian Informasi

Menurut Gondodiyoto (2007, p110), “Informasi adalah merupakan

data yang sudah diolah menjadi bentuk yang berguna dan lebih berarti

(bermanfaat) bagi penerimanya, menggambarkan suatu kejadian dan

kesatuan nyata yang dapat dipahami dan dapat digunakan untuk

pengambilan keputusan, sekarang maupun masa depan.”

Jadi dapat disimpulkan informasi adalah data yang mengalami

proses sehingga menjadi berguna bagi para pemakai.

Menurut Gondodiyoto (2007, p111) agar informasi lebih berguna

harus memiliki beberapa ciri-ciri:

1. Reliable

Informasi harus terbebas dari adanya kesalahan-kesalahan dan

tidak menyesatkan para users-nya (free from error). Akurat

juga berarti informasi harus jelas mencerminkan maksudnya.

Informasi haruslah bebas dari kesalahan dan harus akurat

dalam mempresentasikan suatu kejadian atau kegiatan dari

suatu organisasi.

2. Relevan

Informasi yang relevan harus memberikan arti kepada para

pengguna, berarti informasi relevan mempunyai manfaat bagi

users-nya (pemakainya). Informasi bisa meningkatkan nilai

dari suatu kepastian, atau mengurangi ketidakpastian.

Relevansi untuk tiap-tiap pihak berbeda bergantung dari

kepentingan masing-masing.

11

3. Timely

Informasi yang disajikan tepat pada saat dibutuhkan dan bisa

mempengaruhi proses pengambilan keputusan. Tepat waktu

berarti informasi yang datang pada penerimanya tidak boleh

terlambat. Informasi yang sudah usang tidak mempunyai nilai

lagi karena informasi yang digunakan sebagai dasar untuk

pengambilan keputusan harus tepat waktu. Informasi yang

terlambat dapat berakibat terlambatnya pengambilan

keputusan atau keputusan tersebut salah karena data untuk

dasar pengambilan keputusan out-of-date.

4. Complete

Informasi yang disajikan lengkap, termasuk di dalamnya

semua data-data yang relevan.

5. Understandable

Informasi yang disajikan hendaknya dalam bentuk yang

mudah dimengerti oleh si pembuat keputusan.

6. Verifiable.

Informasi yang dihasilkan tidak bias, menyebabkan perbedaan

dalam memahaminya.

7. Accessible.

Informasi dikatakan accessible bila tersedia pada saat

diperlukan dalam format yang sesuai dengan kepentingannya.

12

2.1.4 Pengertian Sistem Informasi

Menurut Gondodiyoto (2007, p.112) menyatakan bahwa sistem

informasi dapat di definisikan sebagai kumpulan elemen-elemen sumber

daya dan jaringan prosedur yang saling berkaitan secara terpadu,

terintegrasi dalam suatu hubungan hierarki tertentu dan bertujuan untuk

mengolah data menjadi informasi.

Menurut Hall (2007, p9) sistem informasi (information system)

adalah serangkaian prosedur formal dimana data dikumpulkan, diproses

menjadi informasi dan di distribusikan ke para penggunanya.

Dari definisi diatas, maka dapat disimpulkan bahwa sistem

informasi adalah kumpulan elemen-elemen sumber daya yang saling

berkaitan secara terpadu dan komponen-komponen yang saling

bekerjasama untuk mencapai tujuan tertentu.

2.1.3.1 Tujuan Sistem Informasi

Menurut Hall (2007, p21) tujuan sistem informasi tertentu dapat

saja berbeda antara perusahaan. Akan tetapi, terdapat tiga tujuan dasar

yang umum didapati di semua sistem. Tujuan-tujuan tersebut adalah

sebagai berikut :

1. Mendukung fungsi penyediaan pihak manajemen

Administrasi mengacu pada tanggung jawab pihak manajemen untuk

mengelola dengan baik sumber daya perusahaan. Sistem informasi

menyediakan informasi mengenai penggunaan sumber daya kepada

para pengguna eksternal melalui laporan keuangan tradisional serta

13

berbagai laporan lain yang diwajibkan. Secara internal, pihak

manajemen menerima informasi pelayanan dari berbagai laporan

pertanggungjawaban.

2. Mendukung pengambilan keputusan pihak manajemen

Sistem informasi memberikan informasi kepada pihak manajemen

informasi yang dibutuhkan untuk melaksanakan tanggung jawab

pengambilan keputusan tersebut.

3. Mendukung operasional harian perusahaan

Sistem informasi menyediakan informasi bagi para personel

operasional untuk membantu mereka melaksanakan pekerjaan

hariannya dengan cara yang efisien dan efektif.

2.1.5 Audit Sistem Informasi

2.1.5.1 Pengertian Audit

Menurut I Gusti Agung Rai (2008 ,p29) audit

(auditing) adalah kegiatan membandingkan suatu kriteria

(apa yang seharusnya) dengan kondisi (apa yang

sebenarnya terjadi).

Dari definisi diatas, maka disimpulkan bahwa

pengertian audit adalah suatu kegiatan mengevaluasi

perbandingan antara fakta yang terjadi dengan kriteria yang

14

ditetapkan yang bertujuan untuk mendapatkan hasil yang

dibutuhkan.

2.1.5.2 Pengertian Audit Sistem Informasi

Menurut Report of the Committe on Basic Auditing

Concepts of the American Accounting Association

(Accounting Review, vol.47) yang dikutip oleh buku

“Modern Auditing” memberikan definisi auditing sebagai

“suatu proses sistematis untuk memperoleh serta

mengevaluasi bukti secara objektif mengenai asersi-asersi

kegiatan dan peristiwa ekonomi, dengan tujuan

menetapkan derajat kesesuaian antara asersi-asersi tersebut

dengan kriteria yang telah ditetapkan sebelumnya serta

penyampaian hasil-hasilnya kepada pihak-pihak yang

berkepentingan”.

Menurut bukunya, Gondodiyoto (2007)

berpendapat bahwa ada beberapa pengertian tentang

definisi audit sistem informasi, yaitu :

1. (2007, p60) “Audit sistem informasi atau sering

disebut audit teknologi informasi (TI), ialah

pemeriksaan terhadap aspek-aspek TI pada sistem

informasi akutansi.

15

2. (2007, p442) Audit sistem informasi adalah “ proses

pengumpulan dan pengevaluasian bukti-bukti untuk

menentukan apakah suatu sistem aplikasi

komputerisasi telah menetapkan dan menerapkan

sistem pengendalian intern yang memadai, semua

aktiva dilindungi dengan baik/tidak disalahgunakan

serta terjaminnya integrasi data, keandalan serta

efektifitas dan efisiensi penyelenggaraan sistem

informasi berbasis komputer tersebut.”

3. (2007, p443) “Audit sistem informasi dimaksudkan

untuk mengevaluasi tingkat kesesuaian antara sistem

informasi dengan prosedur bisnis (business processes)

perusahaan untuk kebutuhan pengguna (user needs),

untuk mengetahui apakah suatu sistem informasi telah

didesain dan diimplementasikan secara efektif, efisien,

dan ekonomis, memiliki mekanisme pengamanan aset,

serta menjamin integritas data yang memadai.”

Jadi bisa disimpulkan bahwa audit sistem

informasi adalah suatu proses pengumpulan dan

pengevaluasian terhadap sistem informasi berdasarkan

prosedur pengendalian yang telah ditetapkan untuk

menentukan apakah suatu sistem komputer dapat

16

melindungi aset, memelihara integritas data, mencapai

tujuan organisasi secara efektif dan menggunakan

sumber daya secara efisien yang memberikan manfaat

bagi perusahaan secara maksimal.

2.1.5.3 Jenis-Jenis Audit

Menurut Gondodiyoto (2009, p4), Berikut ini dapat

disimpulkan jenis-jenis audit, sebagai berikut :

1. Berdasarkan bidang yang diaudit :

a. Audit keuangan (Financial Audit)

Menurut Gondodiyoto (2009, p6), audit keuangan

adalah suatu proses pemeriksaan oleh orang-orang

yang mampu (kompeten) dan independen, dengan

menghimpun dan mengevaluasi bukti–bukti dan

keterangan yang terukur suatu kesatuan ekonomi,

dengan tujuan untuk mempertimbangkan dan

melaporkan tingkat kesesuaian dari keterangan

terukur yang diperoleh dari pemeriksaannya tersebut

dengan kriteria yang telah ditetapkan.

17

b. Audit operasional/manajemen (Operational

Management Audit)

Menurut Gondodiyoto (2009, p255) audit

operasional merupakan a management service (jasa

yang dilaksanakan untuk kepentingan atau on behalf

of top management), bertujuan untuk mengevaluasi

praktik pelaksanaan :

1. Planning,

2. Organizing,

3.Directing,

4.Controlling perusahaan.

c. Audit ketaatan (Compliance Audit)

Menurut Gondodiyoto (2009, p21) audit ketaatan

adalah pemeriksaan apakah klien/nasabah telah

mengikuti prosedur atau peraturan tertentu yang

telah ditetapkan oleh yang berwenang.

d. Audit Sistem Informasi (Information Systems

Audit)

Menurut Weber (1999, p10) audit sistem informasi

adalah proses pengumpulan dan evaluasi bukti–

bukti untuk menentukan apakah sistem komputer

yang digunakan telah dapat melindungi aset milik

18

organisasi, mampu menjaga integritas data, dapat

membantu perncapaian tujuan organisasi secara

efektif serta menggunakan sumber daya yang

dimiliki secara efisien.

e. Audit e-Commerce

Menurut Gondodiyoto (2007, p75) audit e-

Commerce adalah kegiatan jasa yang ditekankan

pada beberapa hal seperti perlunya keyakinan atas

keandalan transaksi dan perlindungan atas informasi.

f. Investigatif Audit dan Audit Forensic / Fraud Audit

Menurut Gondodiyoto (2009, p41) audit investigatif

adalah suatu penyelidikan yang berlandaskan pada

hukum dan rasa keadilan untuk mencari kebenaran

dengan tingkat keyakinan tinggi.

Menurut Gondodiyoto (2009, 43) fraud auditing

adalah merupakan proses audit yang memfokuskan

pada keanehan/ keganjilan (sesuatu yang nampaknya

di luar kebiasaan kemudiaan menelusuri dan

mendalami transaksi untuk merekonstruksi

bagaimana terjadinya dan apa yang mengikuti

transaksi tersebut).

19

2. Berdasarkan auditornya :

a. Auditor ekstern independen (akuntan publik)

b. Auditor internal (perusahaan)

c. Auditor di lingkungan instansi–instansi pemerintah

d. Auditor perpajakan

2.1.5.4 Tujuan Audit Sistem Informasi

Menurut Gondodiyoto (2007, p474) tujuan audit sistem

informasi, yaitu :

1. Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras

(hardware), perangkat lunak (software), sumber daya

manusia (brandware), file data dan fasilitas lain harus di

jaga dengan sistem pengendalian intern yang baik agar

tidak terjadi penyalahgunaan aset perusahaan. Dengan

demikian sistem pengamanan aset merupakan suatu hal

yang sangat penting yang harus di penuhi oleh

perusahaan

2. Efektifitas Sistem

Effektifitas sistem perusahaan memiliki peranan penting

dalam proses pengambilan keputusan. Suatu sistem

informasi dapat dikatakan efektif bila sistem sinformasi

tersebut sudah di rancang dengan benar (doing the right

20

thing), telah sesuai dengan kebutuhan user. Informasi

yang di butuhkan oleh para manager dapat dipenuhi

dengan baik.

3. Efisiensi Sistem

Efisiensi menjadi sangat penting ketika sumber daya

kapasitasnya terbatas. Jika cara kerja dari sistem

aplikasi komputer menurun maka pihak manajemen

harus mengevaluasi apakah efisiensi sistem masih

memadai atau harus menambah sumber daya, karena

suatu sistem dikatakan efisien jika sistem informasi

dapat memenuhi kebutuhan user dengan sumber daya

informasi yang minimal. Cara sistem kerja benar (doing

the right thing).

4. Ketersediaan

Berhubungan dengan ketersediaan dukungan atau

layanan teknologi informasi (TI). TI hendaknya dapat

mendukung secara continue terhadap proses bisnis

(kegiatan perusahaan). Makin sering terjadi gangguan

(System Down) maka berarti tingkat ketersediaan sistem

lemah.

21

5. Kerahasiaan

Fokusnya ialah pada proteksi terhadap informasi dan

supaya terlindungi dari akses dari pihak pihak yang

tidak berwenang.

6. Kehandalan

Berhubungan dengan kesesuaian dan keakuratan bagi

manajemen dalam pengelolaan organisasi, pelaporan

dan pertanggungjawaban.

7. Menjaga integritas data

Integritas data (data intregity) adalah salah satu konsep

dasar dari sistem informasi. Data memiliki atribut

atribut seperti : kelengkapan, kebenaran, dan

keakuratan.

22

2.1.6 UML Activity Diagram

Menurut Jones dan Rama yang diterjemahkan oleh M. Slamet

Wibowo (2008, p64), UML activity diagram mempunyai peranan penting

dari suatu “peta (map)” di dalam memahami proses bisnis dengan

menunjukkan urutan aktivitas pada proses.

Menurut Jones dan Rama (2008, p61), activity diagram dibagi

menjadi dua yaitu:

a) Overview Activity Diagram

Menurut Jones dan Rama yang diterjemahkan oleh

M. Slamet Wibowo (2008, p64), overview activity

diagram adalah diagram yang menampilkan gambran level

tertinggi dari proses bisnis dengan mendokumendasikan

event-event yang penting, urutan event-event tersebut, dan

aliran informasi yang menyertai event tersebut.

Menurut Jones dan Rama yang diterjemahkan oleh

M. Slamet Wibowo (2008, p65), dalam menyiapkan

overview activity diagram terdapat langkah-langkah

sebagai berikut:

1. Membaca narasi dan mengidentifikasi event-event

yang penting.

2. Mencatat narasi secara jelas untuk

mengidentifikasi event-event yang terlibat di

dalamnya.

23

3. Menggambarkan agen (aktor) yang terlibat dalam

proses bisnis yang terjadi.

4. Membuat diagram masing-masing event dan

menunjukkan urutan event yang terjadi.

5. Menggambarkan dokumen yang dibuat dan

digunakan dalam proses bisnis, serta

menggambarkan aliran informasi dari dokumen

tersebut.

6. Menggambarkan table files yang dibuat dan

digunakan dalam proses bisnis, serta

menggambarkan aliran informasi dari files

tersebut.

b) Detailed Activity Diagram

Menurut Jones dan Rama yang diterjemahkan oleh

M. Slamet Wibowo (2008, p64), detailed activity diagram

adalah diagram yang menggambarkan aktivitas yang

saling berhubungan secara detail atau rinci dengan satu

atau dua event yang terdapat pada overview diagram.

Menurut Jones dan Rama yang diterjemahkan oleh

M. Slamet Wibowo (2008, p65), simbol-simbol yang

digunakan dalam activity diagram adalah:

24

1. Swimlane

Swimlane adalah sebuah kolom dalam activity

diagram yang memisahkan aktivitas atau event

berdasarkan orang atau departemen yang

bertanggung jawab atas aktivitas atau event yang

berhubungan. Agen-agen diluar organisasi (seperti

konsumen) ditampilkan dalam swimlane. Sistem

komputer digunakan untuk mencatat dan

memproses data SIA ditampilkan dalam sebuah

swimlane.

2. A Solid Circle

Sebuah lingkaran berisi menunjukkan awal dari

proses. Ini muncul dalam swimlane agen (dalam

maupun luar perusahaan) yang memulai proses.

3. Rounded Rectangle

Event, aktivitas, atau penggerak yang terjadi dalam

aktivitas diagram.

4. Countinous Line

Garis panah menunjukkan urutan dari event.

25

5. Document

Kita menggunakan simbol dokumen untuk

menampilkan dokumen sumber dan laporan-

laporan.

6. Dotted Line

Garis panah putus-putus menunjukkan arus

informasi antara event. Garis putus-putus

digunakan untuk menghubungkan event dan table

untuk menunjukkan bagaimana table data dibuat

dan digunakan oleh event.

7. Table

Data dapat dibaca dari atau dicatat dalam komputer

selama event bisnis.

8. Bull’s-eye

Sebuah sasaran menunjukkan akhir dari proses.

26

2.1.7 Sistem Pengendalian Internal

2.1.7.1 Pengertian Sistem Pengendalian Internal

Menurut Gondodiyoto (2007, p250) Pengendalian

internal atau pengawasan internal “pada hakekatnya adalah

suatu mekanisme yang didesain untuk menjaga (preventif),

mendeteksi (detektif) dan memberikan mekanisme

pembetulan (korektif) terhadap potensi/kemungkinan

terjadinya kesalahan, kekeliruan, kelalaian (error) maupun

penyalahgunaan (kecurangan,fraud).

Menurut Cangemi (2007, p65-66) ”Internal control

sistem is the policies, practices, and procedures, and tools

designed to :

(1) Safeguarding asets,

(2) Ensure accuracy and reliability of data captured and

information products,

(3)Promote efficiency,

(4) Measure compliance with corporate policies,

(5) Measure compliance with regulation, and

(6) Manage the negative events and effect from fraud,

crime, and deleterious activities.”

27

Yang jika di artikan adalah Sistem kontrol internal adalah

kebijakan, praktik dan prosedur dan alat yang dirancang

untuk :

(1) Menjaga aset.

(2) Memastikan keakuratan dan keandalan pendapatan

data danproduk informasi.

(3) Meningkatkan efisiensi.

(4) Mengukur kepatuhan atas kebijakan perusahaan.

(5) Mengukur kecocokan dengan regulasi.

(6) Mengelola kejadian yang tidak diinginkan dan efek

dari penipuan, kejahatan dan kegiatan lain yang

merusak.

Berdasarkan pengertian diatas dapat disimpulkan

bahwa sistem pengendalian internal meliputi metode dan

kebijakan yang terkordinasi didalam perusahaan untuk

mengamankan kekayaan perusahaan, menguji ketepatan,

ketelitian, keandalan catatan atau data akutansi serta untuk

mendorong ditaatinya kebijakan manajemen.

28

Menurut Gondodiyoto (2007, p250) pengendalian

internal dapat dibedakan berdasarkan sifatnya, yaitu :

1. Preventive control, yaitu pengendalian intern yang

dirancang dengan maksud untuk mengurangi

kemungkinan atau mencegah/menjaga jangan sampai

terjadi kesalahan kekeliruan/kelalaian (error) maupun

penyalahgunaan kecurangan (fraud). Contoh jenis

pengendalian ini ialah misalnya desain formulir yang

baik, itemnya lengkap, mudah diisi, serta user training

atau pelatihan kepada orang-orang yang berkaitan

dengan input system, sehingga mereka tidak melakukan

kesalahan.

2. Detection controls, adalah pengendalian yang didesain

dengan tujuan agar apabila data rekaman (di-entry)/

konversi dari media sumber (media input) untuk

ditransfer ke sistem komputer dapat dideteksi bila terjadi

kesalahan (maksudnya tidak sesuai dengan kriteria yang

ditetapkan). Contoh jenis pengendalian ini ialah

misalnya jika seseorang mengambil uang di ATM, maka

seharusnya program komputer mendeteksi jika dana

tidak cukup, atau saldo minimal tidak mencukupi, atau

melebihi jumlah maksimal yang diijinkan untuk

pengambilan tiap harinya.

29

3. Corrective control, ialah pengendalian yang sifatnya jika

terdapat data yang sebenarnya error tetapi tidak

terdeteksi oleh detection controls, atau data yang error

yang terdeteksi oleh program validasi, harus ada

prosedur yang jelas tentang bagaimana melakukan

pembetulan terhadap data yang salah dengan maksud

untuk mengurangi kemungkinan kerugian kalau

kesalahan/ penyalahgunaan tersebut sudah benar-benar

terjadi.

2.1.7.2 Tujuan Sistem Pengendalian Internal

Menurut Gondodiyoto (2007, p260) system control

atau pengendalian internal komputerisasi memiliki

beberapa tujuan, diantaranya :

1. Meningkatkan pengamanan (improve safeguard) asets

sistem informasi data/catatan akutansi (accounting

records) yang bersifat logical assets, maupun physical

asets seperti hardware, infrastructures dan sebagainya.

2. Meningkatkan integritas data (improve data integrity),

sehingga dengan data yang benar dan konsisten akan

dapat dibuat laporan yang benar.

3. Meningkatkan efektifitas sistem (improve system

effectiveness).

30

4. Meningkatkan efisiensi sistem (improve system

efficiency).

2.1.7.3 Unsur-Unsur Sistem Pengendalian Internal

Menurut Gondodiyoto (2007, p478) Sistem

pengendalian Internal (Internal Control) terdiri dari

beberapa komponen yaitu:

1. Separation of duties (pemisahan tugas /fungsi).

2. Delegation of authority and responsibility (pembagian

wewenang dan tanggung jawab).

3. Competent and trustworthy personnel (pegawai yang

terlatih/ cakap dan dapat dipercaya).

4. Sistem of authorization (otorisasi).

5. Adequate document and records (pencatatan dan

dokumentasi yang memadai).

6. Physical control over asets and records (kontrol antara

catatan dengan harta secara fisik yang ada).

7. Adequate management supervision (pemeriksaan terhadap

kinerja oleh pihak luar organisasi).

31

2.1.8 CobIT

2.1.8.1 Pengertian CobIT

Menurut Gondodiyoto (2007, p274-275), CobIT

adalah sekumpulan dokumentasi best practices untuk IT

governance yang dapat membantu auditor, pengguna

(user), dan manajemen, untuk menjembatani gap antara

risiko binis, kebutuhan kontrol dan masalah-masalah

teknis TI.

CobIT dapat diartikan sebagai tujuan pengendalian

untuk informasi dan teknologi terkait dan merupakan

standar terbuka untuk pengendalian terhadap teknologi

informasi yang dikembangkan dan dipromosikan oleh

Institute IT Governance.

CobIT pertama sekali diperkenalkan pada tahun

1996 adalah merupakan alat (tool) yang disiapkan untuk

mengatur teknologi informasi (IT Governance tool).

CobIT telah dikembangkan sebagai sebuah aplikasi

umum dan telah diterima menjadi standar yang baik bagi

praktek pengendalian dan keamanan TI yang menyediakan

sebuah kerangka kerja bagi pengelola, user, audit sistem

informasi, dan pelaksana pengendalian dan keamanan.

CobIT di terbitkan oleh Institute IT Governance.

Pedoman CobIT memungkinkan perusahaan untuk

mengimplementasikan pengaturan TI secara efektif dan

32

pada dasarnya dapat diterapkan di seluruh organisasi.

Khususnya, komponen pedoman manajemen CobIT yang

berisi sebuah respon kerangka kerja untuk kebutuhan

manajemen bagi pengukuran dan pengendalian TI dengan

menyediakan alat-alat untuk menilai dan mengukur

kemampuan TI perusahaan untuk 34 proses TI CobIT.

Alat-alat tersebut yaitu :

1. Elemen pengukuran kinerja (pengukuran hasil dan

kinerja yang mengarahkan bagi seluruh proses TI).

2. Daftar faktor kritis kesuksesan (CSF) yang disediakan

secara ringkas, praktek terbaik non-teknis dari tiap

proses TI.

3. Model maturity untuk membantu dalam bench marking

dan pengambilan keputusan bagi peningkatan

kemampuan.

Komponen CobIT terdiri dari Executive Summary,

Framework, Control Objective, Audit Guidelines,

Implementation Tool Set, Management Guidelines.

33

2.1.8.2 Misi dan Visi CobIT

CobIT memiliki misi melakukan riset,

mengembangkan, mempublikasikan dan mempromosikan

makalah-makalah, serta mengupdate tatanan atau ketentuan

TI controls objective yang dapat diterima umum (generally

accepted control Objective) berikut panduan pelengkap

yang dikenal sebagai Audit Guidelines yang

memungkinkan penerapan framework dan control

Objective dapat berjalan mudah. Tatanan atau ketentuan

tersebut selanjutnya digunakan oleh para manajer dunia

usaha maupun auditor dalam menjalankan profesinya.

Sedangkan visi dari CobIT adalah dijadikan CobIT

sendiri sebagai satu-satunya model pengurusan dan

pengendalian teknologi informasi (Information Technology

Governance).

CobIT merupakan IT governance best practices

yang membantu auditor, manajemen, pengguna (user)

untuk menjembatani aspek bisnis, kebutuhan kontrol dan

aspek teknis TI. CobIT memberikan arahan (guidelines)

yang berorientasi pada bisnis, dan karena itu business

process owners dan manajer, termasuk juga auditor dan

users, diharapkan dapat memanfaatkan guidelines ini

dengan baik.

34

Menurut Gondodiyoto (2007, p279) kerangka

kerja CobIT terdiri atas beberapa arahan (guidelines)

yaitu:

1. Control Objective

Terdiri atas 4 tujuan pengendalian tingkat tinggi

(high-level control Objective) yang tercermin dalam 4

domain, yaitu: planning & organization, acquisition &

implementation, delivery & support, dan monitoring and

evaluate

2. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian

rinci (detailed control Objective) untuk membantu para

auditor dalam memberikan management assurance dan

atau saran perbaikan.

3. Management Guidelines

Berisi arahan, baik secara umum maupun

spesifik, mengenai apa saja yang mesti dilakukan,

terutama agar dapat menjawab pertanyaan-pertanyaan

berikut:

a) Sejauh mana TI harus bergerak dan apakah biaya TI

yang dikeluarkan sesuai dengan manfaat yang

dihasilkannya?

35

b) Apa saja indikator untuk suatu kinerja yang bagus?

c) Apa saja faktor atau kondisi yang harus diciptakan

agar dapat mencapai sukses (critical success

faktors)?

d) Apa saja risiko yang timbul bila sasaran yang

ditentukan tak tercapai?

e) Bagaimana dengan perusahaan Bagaimana dengan

perusahaan lainnya, apa yang mereka lakukan?

f) Bagaimana mengukur keberhasilan dan menilainya?

Konsep dasar dari kerangka kerja CobIT adalah

bahwa kontrol terhadap sistem informasi dapat

ditentukan dengan cara menentukan informasi-informasi

yang dibutuhkan untuk mendukung objektif bisnis.

Setelah informasi ini ditentukan kemudian

ditentukan sebuah kebijakan kontrol terhadap informasi-

informasi ini. Informasi yang dikontrol adalah informasi

tentang sumber daya yang terkait dengan proses-proses

sistem informasi.

36

Gambar 2.1 Product CobIT

Sumber: ITGI- CobIT 4.1 Excrept(2007, p26)

37

2.1.8.3 Domain Plan and Organize (PO)

1. Control Objective PO1 (Define a Strategic IT Plan)

2. Control Objective PO2 (Define the Information

Architecture)

3. Control Objective PO3 (Determine Technological

Direction)

4. Control Objective PO4 (Define the IT Processes,

Organization and Relationship)

5. Control Objective PO5 (Manage the IT Investment)

6. Control Objective PO6 (Communicate Management

Aims and Direction)

7. Control Objective PO7 (Manage IT Human Resources)

8. Control Objective PO8 (Manage Quality)

9. Control Objective PO9 (Assess and Manage IT Risks)

10. Control Objective PO10 (Manage Projects)

2.1.8.4 Domain Acquire and Implement (AI)

1. Control Objective AI1 (Identify Automated Solutions)

2. Control Objective AI2 (Acquire and Maintain

Application Software)

3. Control Objective AI3 (Acquire and Maintain

Technology Infrastructure)

4. Control Objective AI4 (Enable Operation and Use)

5. Control Objective AI5 (Procure IT Resoureces)

38

6. Control Objective AI6 (Manage Changes)

7. Control Objective AI7 (Install and Accredit Solutions

and Changes)

2.1.8.5 Domain Delivery and Support (DS)

1. Control Objective DS1 (Define and Manage Service

Levels)

2. Control Objective DS2 (Manage Thrird-Party Services)

3. Control Objective DS3 (Manage Performance and

Capacity)

4. Control Objective DS4 (Ensure Continuous services)

5. Control Objective DS5 (Ensure Sistems Security)

6. Control Objective DS6 ( Identify and Allocate Costs)

7. Control Objective DS7 (Educate and Train Users)

8. Control Objective DS8 (Manage Services Desk and

Incidents)

9. Control Objective DS9 (Manage the Configuration)

10. Control Objective DS10 (Manage Problems)

11. Control Objective DS11 (Manage Data)

12. Control Objective DS12 (Manage the Physical

Environment)

13. Control Objective DS13 (Manage Operations

39

2.1.8.6 Domain Monitor and Evaluate (ME)

1. Control Objective ME1 (Monitor and Evaluate IT

Performance)

2. Control Objectives ME2 (Monitor and Evaluate

Internal Control)

3. Control Objectives ME3 (Ensure Compliance With

External Requirments)

4. Control Objective ME4 (Provide IT Governance)

Dengan demikian dapat disimpulkan sumber daya

TI (IT Resources) dikelola oleh proses TI (IT Processes)

untuk mencapai tujuanTI yang menanggapi tujuan bisnis.

Secara keseluruhan, CobIT dapat dipandang sebagai sebuah

kubus yang terdiri dari 3 dimensi yaitu: Information

Criteria, IT Resource, dan IT Processes.

40

Gambar 2.2 : Kubus CobIT

Sumber : ITGI-CobIT 4.1th edition (2007, p25)

41

2.1.8.7 IT Resource

IT Resource adalah sumber daya yang berkaitan dengan

Teknologi Informasi. IT resource terdiri dari beberapa hal

sebagai berikut:

1. Application

Application meliputi aplikasi yang

digunakan untuk mengelola informasi dalam

menjalankan proses bisnis.

2. Information

Information merupakan data yang di-input,

diproses dan dihasilkan oleh sistem informasi

untuk bisnis.

3. Infrastructure

Infrastrucuture merupakan teknologi yang

mendukung proses aplikasi. Contohnya: perangkat

keras, sistem operasi, sistem manajemen database,

jaringan, multimedia serta perangkat lainnya yang

mendukung.

4. People

Orang merupakan personil yang dibutuhkan

untuk merencanakan, mengorganisasi,

42

memperoleh, mengimplementasi, memberikan,

mendukung, memonitor dan mengevaluasi sistem

informasi.

2.1.8.8 Information Criteria

Untuk mencapai tujuan organisasi secara memuaskan,

informasi harus memenuhi beberapa kriteria. CobIT telah

menetapkan kriteria tersebut dengan merujuk pada

kebutuhan informasi di organisasi atau perusahaan. CobIT

mengkombinasikan beberapa prinsip penyusunan

informasi berdasarkan model-model yang sudah ada, dan

merumuskannya kedalam tiga kategori utama, yaitu:

kualitas (quality), tanggung jawab fidusier (fiduciary

responsibility) dan keamanan (security).

Berdasarkan tiga persyaratan di atas, muncul tujuh

kategori yang saling terkait satu sama lain, dan dijadikan

sebagai kriteria untuk mengevaluasi sumber daya

teknologi informasi yang dapat memenuhi kebutuhan

organisasi atau perusahaan akan suatu informasi. Kriteria

dimaksud adalah :

a) Efektivitas (Effectiveness), untuk memperoleh

informasi yang relevan dan berhubungan dengan

proses bisnis seperti penyampaian informasi

43

dengan benar, konsisten, dapat dipercaya dan

tepat waktu.

b) Efisiensi (Efficiency), memfokuskan pada

ketentuan informasi melalui penggunaan sumber

daya yang optimal.

c) Kerahasiaan (Confidentiality), memfokuskan

proteksi terhadap informasi yang penting dari

orang yang tidak memiliki hak otorisasi.

d) Integritas (Integrity), berhubungan dengan

informasi yang tersedia ketika diperlukan dalam

proses bisnis sekarang dan yang akan datang.

e) Ketersediaan (Availability), berhubungan dengan

informasi yang tersedia ketika diperlukan dalam

proses bisnis sekarang dan yang akan datang.

f) Kepatuhan (Compliance), sesuai menurut hukum,

peraturan dan rencana perjanjian untuk proses

bisnis

44

g) Keakuratan informasi (Reliability of Information),

berhubungan dengan ketentuan kecocokan

informasi untuk manajemen mengoperasikan

entitas dan mengatur pelatihan keuangan dan

kelengkapan laporan pertanggung jawaban.

2.1.8.9 IT Proccess

Kerangka kerja CobIT terdiri atas kontrol objektif dan

semua struktur yang sesuai dengan klasifikasinya.

CobIT merupakan panduan yang paling lengkap

dari praktik-praktik terbaik untuk manajemen TI yang

mencakup empat domain, yaitu: perencanaan dan

organisasi, akuisisi dan implementasi, penyerahan dan

dukungan TI dan monitor.

CobIT Framework mencakup tujuan pengendalian

yang terdiri dari 4 domain yaitu:

1. Plan & Organize

Yaitu mencakup pembahasan tentang identifikasi

dan strategi investasi TI yang dapat memberikan

yang terbaik untuk mendukung pencapaian

tujuan bisnis. Selanjutnya identifikasi dan visi

strategis perlu direncanakan, dikomunikasikan,

dan diatur pelaksanaannya (dari berbagai

perspektif).

45

2. Acquire & Implement

Yaitu untuk merealisasikan strategi TI, perlu

diatur kebutuhan TI, diidentifikasi,

dikembangkan, atau diimplementasikan secara

terpadu dalam proses bisnis perusahaan.

3. Delivery & Support

Domain ini lebih dipusatkan pada ukuran tentang

aspek dukungan TI terhadap kegiatan operasional

bisnis (tingkat jasa layanan TI actual atau service

level) dan aspek urutan (prioritas implementasi

dan untuk pelatihannya).

4. Monitor & Evaluate

Yaitu semua proses TI yang perlu dinilai secara

berkala agar kualitas dan tujuan dukungan TI

tercapai, dan kelengkapannya berdasarkan pada

syarat internal kontrol yang baik.

46

2.1.8.10 CobIT Measurement Driven

Gondodiyoto (2007, p66-68), menyatakan bahwa

pendekatan yang sering dipakai untuk melakukan penilaian

terhadap pengelolaan suatu sistem informasi adalah dengan

menggunakan konsep Maturity Model yang dikembangkan

oleh ISACA.

Mengerti akan status sistem TI perusahaan dan untuk

memutuskan tingkat manajemen dan pengendalian yang

harus disediakan merupakan suatu kebutuhan dasar bagi

perusahaan. Perusahaan perlu untuk mengukur posisi tingkat

manajemen mereka.

Maturity model dapat membantu pihak professional untuk

dapat menjelaskan kepada manajemen perusahaan mengenai

posisi dari tatakelola TI yang ada di perusahaan saat ini dan

dapat menentukan target untuk masa yang akan datang.

Tingkat maturity dapat dipengaruhi oleh tujuan bisnis

perusahaan, lingkungan operasional dan lingkungan industri.

Lebih spesifik lagi, tingkat maturity tata kelola TI

tergantung pada seberapa besar tingkat ketergantungan

perusahaan terhadap penggunaan TI, kesempurnaan dari TI

yang ada dan yang paling penting seberapa bernilainya suatu

informasi dalam perusahaan tersebut.

47

CobIT menyediakan ukuran-ukuran untuk setiap

proses yang dapat digunakan oleh manajemen teknologi

informasi untuk menetukan kinerja IT Governance yang

dimiliki. Ukuran-ukuran tersebut antara lain:

1. Maturity Model

Maturity model pada CobIT digunakan untuk menentukan

pilihan strategi yang akan digunakan dan melakukan

perbandingan dengan standar yang ada. Maturity Model

pada CobIT digunakan untuk membantu manajemen dalam

mengidentifikasi hal-hal sebagai berikut:

a. Kinerja yang sebenarnya pada organisasi, untuk

melihat posisi organisasi saat ini.

b. Status industri pada saat ini, sebagai bahan

pertimbangan.

c. Target perusahaan untuk pengembangan lebih lanjut,

yaitu menyatakan level yang ingin dicapai oleh

perusahaan.

d. Pertumbuhan yang diperlukan saat ini dan yang akan

datang.

48

Maturity model pada CobIT terdapat enam level penilaian seperti pada gambar

berikut:

Gambar 2.3 : Maturity Model pada CobIT

Sumber: ITGI-CobIT 4.1th edition (2007, p18)

49

Setiap proses pada CobIT terdapat skala penilaian

berdasarkan deskripsi maturity model secara umum seperti

di bawah ini:

a) Level 0 Non-Existent

Pengelolaan teknologi informasi atau sistem

informasi masih dalam tahap paling awal, masih

pemula. Setiap proses belum terdefinisi dengan

baik. Organisasi belum menyadari adanya

persoalan yang perlu untuk ditangani.

b) Level 1 Initial

Organisasi telah menyadari adanya persoalan

yang perlu untuk ditangani, tetapi belum ada standar

proses yang harus dilakukan. Penanganan persoalan

dilakukan berdasarkan kasus-kasus yang muncul.

Secara umum manajemen masih belum terorganisasi.

Pengelolaan yang tidak menentu, tidak dikelola dengan

baik, tidak ada dokumentasi, proyek terkadang

melebihi deadline dan tidak terencana.

50

c) Level 2 Repeatable

Proses telah dikembangkan pada tahap ini

sehingga telah dilakukan prosedur yang sejenis untuk

kegiatan yang sama. Belum ada prosedur standar yang

diterapkan dan tanggung jawab merupakan tanggung

jawab individu. Pada level ini, perusahaan mulai sadar

akan pentingnya kualitas. Tidak hanya kualitas pada

software sebagai ‘produk’ tapi juga kualitas pada cara

penanganan proyek. Mulai memperhitungkan

kelayakan proyek terhadap kemampuan organisasi

(perusahaan).

d) Level 3 Defined

Prosedur telah distandarisasi,

didokumentasikan, dan dikomunikasikan melalui

pelatihan. Tahap ini mulai mengenal metodologi

pengembangan sistem dan masih sangat tergantung

individu apakah mengikuti standar yang ada maupun

tidak tetapi telah ada formalisasi untuk setiap kegiatan.

51

e) Level 4 Managed and Measureable

Pada tahap ini manajemen mengawasi dan

mengukur hal-hal yang telah dipenuhi dengan

prosedur, serta mengambil tindakan ketika proses tidak

berjalan dengan efektif. Proses-proses yang ada

merupakan bagian dari pengembangan yang konstan.

Pada tahap ini telah dilakukan otomatisasi tetapi masih

terbatas dan terpisah-pisah.

f) Level 5 Optimized

Proses yang ada telah disesuaikan dengan best

practice, berdasarkan hasil pengembangan secara terus

menerus dengan organisasi lain. Teknologi Informasi

digunakan sebagai bagian yang terintegrasi dengan

aliran kerja, sebagai alat bantu untuk meningkatkan

kualitas dan efektifitas, dan membuat organisasi dapat

cepat untuk beradaptasi.

52

2. Critical Success Faktor

Critical Success Faktor menyediakan petunjuk untuk

implementasi control TI dan proses didalamnya. Pada

bagian ini disebutkan hal-hal yang perlu dilakukan agar

proses TI dapat mencapai tujuannya.

3. Key Goal Indicators

Key Goal Indicators mendefinisikan ukuran-ukuran

yang akan memberikan gambaran kepada manajemen

apakah proses-proses TI yang ada telah memenuhi

kebutuhan proses bisnis yang ada.

53

2.1.9 Sistem Informasi Persediaan

2.1.9.1 Pengertian Persediaan

Menurut Siagian (2007, p161) persediaan

merupakan bahan baku atau barang yang disimpan

untuk tujuan tertentu, antara lain untuk proses produksi,

jika berupa bahan mentah maka akan diproses lebih

lanjut, jika berupa komponen (spare part) maka akan

dijual kembali menjadi barang dagangan.

Menurut Herjanto (2007, p237) persediaan adalah

bahan baku atau barang yang disimpan yang akan

digunakan untuk memenuhi tujuan tertentu, misalnya untuk

digunakan dalam proses produksi atau perakitan, untuk

dijual kembali, atau untuk suku cadang dari suatu peralatan

atau mesin. Persediaan dapat berupa bahan mentah, barang

dalam proses, barang jadi, ataupun suku cadang.

2.1.9.2 Fungsi Persediaan

Menurut Herjanto (2007, p238) fungsi penting dari

persediaan dalam memenuhi kebutuhan perusahaan adalah

sebagai berikut:

1. Menghilangkan risiko keterlambatan pengiriman bahan

baku atau barang yang dibutuhkan perusahaan.

2. Menghilangkan risiko jika material yang dipesan tidak

baik sehingga harus dikembalikan.

54

3. Menghilangkan risiko terhadap kenaikan harga barang

atau inflasi.

4. Untuk menyimpan bahan baku yang dihasilkan secara

musiman sehingga perusahaan tidak akan kesulitan jika

bahan itu tidak tersedia di pasaran.

5. Mendapatkan keuntungan dari pembelian berdasarkan

diskon kuantitas.

6. Memberikan pelayanan kepada pelanggan dengan

tersediannya barang yang diperlukan.

2.1.9.3 Jenis Persediaan

Secara umum menurut Siagian (2007, p164)

persediaan dapat dibedakan dalam beberapa jenis, antara

lain sebagai berikut:

1. Raw material

Persediaan ini disebut juga persediaan bahan mentah.

Persediaan bahan baku adalah bahan atau barang yang

akan diproses lebih lanjut menjadi barang jadi.

2. Work in Process

Persediaan barang dalam proses merupakan persediaan

yang telah mengalami perubahan, tetapi belum selesai.

3. Supplies Inventory

Supplies Inventory adalah persediaan yang berfungsi

sebagai penunjang dalam proses operasi atau produksi

55

agar berjalan lancar. Misalanya spare part untuk

pemeliharaan mesin-mesin, alat-alat kantor seperti

kertas, tinta, dan pena.

4. Merchandise Inventory

Persediaan jenis ini merupakan persediaan yang akan

dijual kembali sebagai barang dagangan. Misalnya,

persediaan radio tape ada perusahaan mobil, radio tape

dibeli dari perusahaan lain yang akan dijual kembali

bersamaan dengan mobil yang menjadi produk

utamanya.