6

BAB 2

LANDASAN TEORI

2.1 Teori Umum

2.1.1 Sistem

Menurut Mulyadi (2001, p2), sistem adalah sekelompok unsur yang erat

berhubungan satu dengan lainnya, yang berfungsi bersama-sama untuk mencapai tujuan

tertentu.

Menurut O'Brien (2005, p29), sistem adalah sekelompok komponen yang saling

berhubungan, bekerja sama untuk mencapai tujuan bersama dengan menerima input

serta menghasilkan output dalam proses transformasi yang teratur.

Menurut McLeod (2004, p9), sistem adalah sekelompok elemen-elemen yang

terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.

Jadi dapat disimpulkan bahwa sistem adalah kumpulan beberapa komponen

yang saling berhubungan dan bekerja untuk mencapai tujuan tertentu.

2.1.2 Informasi

Menurut O'Brien (2005, p38), informasi adalah data yang telah diubah menjadi

konteks yang berarti dan berguna bagi para pemakai akhir tertentu.

Menurut Gondodiyoto (2007, p82), informasi adalah data yang telah diolah,

diubah menjadi suatu bentuk yang sesuai dengan keinginan si penerima.

Dapat disimpulkan bahwa informasi merupakan kumpulan data-data yang telah

diolah dan dapat dipergunakan oleh pemakai akhir tertentu.

7

2.1.3 Sistem Informasi

Menurut Hall (2007,p7), sistem informasi adalah suatu rangkaian prosedur

formal dimana data dikumpulkan, di proses dan didistribusikan kepada para pengguna.

Menurut Whitten (2004,p67), sistem informasi adalah kumpulan yang terdiri

dari orang, data dan proses yang saling keterkaitan untuk menghasilkan suatu informasi

yang dibutuhkan untuk mendukung pengambilan keputusan bagi suatu organisasi.

Menurut O’brien (2005, p5), sistem informasi merupakan kombinasi teratur apa

pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data

yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.

Berdasarkan pengertian di atas maka dapat disimpulkan bahwa sistem informasi

adalah suatu kesatuan dari berbagai komponen yang diproses untuk menghasilkan

informasi yang berguna bagi perusahaan dalam mencapai tujuan.

2.1.4 Tujuan Sistem Informasi

Tujuan sistem informasi menurut Hall (2007, p17), dapat dibedakan atas 3

tujuan umum bagi semua sistem, yaitu:

- Untuk mendukung fungsi kepengurusan (stewardship) manajemen yang

merujuk ke tanggung jawab manajemen untuk mengatur sumber daya

perusahaan secara benar.

- Untuk mendukung pengambilan keputusan manajemen. Sistem informasi

memberikan para manajer informasi yang mereka butuhkan untuk melakukan

tanggung jawab pengambilan keputusan.

8

- Untuk mendukung kegiatan operasi perusahaan, sistem informasi menyediakan

informasi bagi personal operasi untuk membantu kegiatan operasi perusahaan

secara efisien dan efektif.

2.1.5 Sistem Informasi Penjualan

Sistem informasi penjualan adalah suatu kesatuan dari berbagai komponen yang

di proses untuk menghasilkan informasi penjualan yang berguna bagi perusahaan dalam

mencapai tujuan.

2.1.6 Evaluasi

Menurut Umar (2002, p36), evaluasi adalah suatu proses untuk menyediakan

informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan

pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih

diantara keduanya, serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan

dengan harapan-harapan yang ingin diperoleh.

Prosedur evaluasi

Menentukan apa yang akan di evaluasi.

Apa saja yang dapat di evaluasi, dapat mengacu pada program kerja perusahaan.

Banyak aspek-aspek yang dapat dan perlu di evaluasi. Tetapi biasanya yang

diprioritaskan untuk di evaluasi adalah hal-hal yang menjadi key success factors-

nya.

9

Merancang kegiatan evaluasi.

Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain evaluasinya agar

data apa saja yang dibutuhkan, tahapan-tahapan kerja apa saja yang dilalui, siapa

saja yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas.

Pengumpulan data

Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar mudah

dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat

menghasilkan fakta yang dapat di percaya. Selanjutnya dibandingkan antara

fakta dan harapan atau rencana untuk menghasilkan gap. Besar gap akan

disesuaikan dengan tolok ukur tertentu sebagai hasil evaluasi.

Pelaporan hasil evaluasi

Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan,

hendaknya hasil evaluasi didokumentasikan secara tertulis dan diinformasikan

baik secara lisan maupun tulisan.

Tindakan lanjut hasil evaluasi

Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu,

hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk mengambil

keputusan dalam rangka mengatasi masalah manajemen, baik di tingkat strategi

maupun di tingkat implementasi strategi.

10

2.1.7 Struktur Organisasi

Menurut Mulyadi (2001, p165), struktur organisasi merupakan kerangka

(framework) pembagian tanggung jawab fungsional kepada unit-unit organisasi yang

dibentuk untuk melaksanakan kegiatan-kegiatan pokok perusahaan.

2.1.8 Pengendalian Umum

Menurut Mulyadi (2001, p182), pengendalian umum merupakan standard dan

panduan yang digunakan oleh karyawan untuk melaksanakan fungsinya. Dalam

lingkungan pengolahan data elektronik, pengendalian umum meliputi : dokumen sistem,

prosedur pengembangan, dan perubahan sistem, dan metode operasi fasilitas

pengolahan data.

Menurut Welsch (2000, p3), pengendalian adalah suatu proses untuk menjamin

terciptanya kinerja yang efisien yang memungkinkan tercapainya tujuan perusahaan.

Berdasarkan pengertian di atas dapat disimpulkan bahwa pengendalian secara

umum merupakan standar yang digunakan karyawan untuk melakukan tugasnya

sehingga dapat terciptanya kinerja yang efisien untuk mencapai tujuan perusahaan.

11

2.2 Teori Khusus

2.2.1 Pengendalian Intern

Menurut Weber (1999, p35) pengedalian intern adalah suatu sistem untuk

mencegah, mendeteksi dan mengoreksi kejadian yang timbul saat transaksi dari

serangkaian pemrosesan yang tidak terotorisasi secara sah, tidak akurat, tidak lengkap,

mengandung redudansi, tidak efektif dan tidak efisien.

Menurut Mulyadi (2001, p163), sistem pengendalian intern meliputi struktur

organisasi, metode dan ukuran-ukuran untuk menjaga kekayaan organisasi, mengecek

ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong

dipatuhinya kebijakan manajemen.

Berdasarkan pengertian di atas dapat disimpulkan bahwa pengendalian intern

merupakan suatu metode, ukuran-ukuran yang digunakan untuk menjaga kekayaan

organisasi, mendorong efisiensi dan efektifitas serta mendorong dipatuhinya kebijakan

manajemen.

2.2.1.1 Unsur-unsur Pengendalian Intern

Menurut Mulyadi (2001, p164), unsur pokok sistem pengendalian intern adalah:

- Struktur organisasi yang memisahkan tanggung jawab fungsional secara tegas.

- Sistem wewenang dan prosedur pencatatan yang memberikan perlindungan yang

cukup terhadap kekayaan, utang, pendapatan dan biaya.

- Praktik yang sehat dalam melaksanakan tugas dan fungsi setiap unit organisasi.

- Karyawan yang mutunya sesuai dengan tanggung jawabnya.

12

2.2.1.2 Jenis Pengendalian Internal

Menurut Weber (1999, p67 & 365), pengendalian terdiri dari dua jenis yaitu:

1. Pengendalian Manajemen (Management Control Framework)

Pengendalian manajemen adalah sistem pengendalian internal komputer yang

berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara

menyeluruh. Artinya ketentuan-ketentuan yang berlaku dalam pengendalian

tersebut, berlaku untuk seluruh kegiatan komputerisasi di perusahaan tersebut.

Pengendalian ini berguna untuk menyediakan infrastruktur yang stabil sehingga

sistem informasi dapat di bangun, di operasi, dan di pelihara secara

berkesinambungan.

a. Pengendalian Top Manajemen (Top Level Management Control)

Mengendalikan peranan manajemen dalam perencanaan kepemimpinan dan

pengawasan fungsi sistem.

b. Pengendalian Manajemen Sistem Informasi (Information System

Management Control)

Mengendalikan alternatif dari model pengembangan proses sistem informasi

sehingga digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.

c. Pengendalian Manajemen Pengembangan Sistem (System Development

Management Control)

Mengendalikan tahapan utama dari daur hidup program dan pelaksanaan

dari tiap tahap.

d. Pengendalian Manajemen Sumber Data (Data Resource Management

Control)

13

Mengendalikan peranan dan fungsi dari data administrator atau database.

e. Pengendalian Manajemen Jaminan Kualitas (Quality Assurance

Management Control)

Mengendalikan fungsi utama yang harus dilakukan oleh Quality Assurance

Management Control untuk meyakinkan bahwa pengembangan,

pelaksanaan, pengoperasian, dan pemeliharaan dari sistem informasi sesuai

dengan standar kualitas.

f. Pengendalian Manajemen Keamanan (Security Management Control)

Menurut Weber (1999, p257-266) dapat disimpulkan bahwa pengendalian

terhadap manajemen keamanan secara garis besar bertanggung jawab dalam

menjamin aset sistem informasi tetap aman.

g. Pengendalian Manajemen Operasi (Operation Management Control)

Menurut Weber (1999, p293-320), secara garis besar Pengendalian

Manajemen Operasi bertanggung jawab terhadap hal-hal berikut:

1. Pengoperasian Komputer (Computer Operation)

2. Pengoperasian Jaringan (Network Operation)

3. Persiapan dan Pengentrian data (Preparation dan Entry Data)

4. Pengendalian Produksi (Production Control)

5. Perpustakaan File (File Library)

6. Perpustakaan Dokumentasi dan Program (Documentation and Program

Library)

7. Bantuan dan Dukungan Teknis (Help Desk/Technical Support)

14

8. Perencanaan Kapasitas dan Pemantauan Kinerja (Capacity Planning and

Performance Monitoring)

9. Manajemen Operasi Outsource (Management Outsourced Operations)

2. Pengendalian Aplikasi (Application Control Framework)

a. Pengendalian Boundary (Boundary Control)

Menurut Weber (1999, p371-405) pengendalian ini bertanggung jawab

untuk menentukan hubungan antara user dengan sistem komputer seperti

fungsi pengendalian akses, nomor identifikasi personal (PIN), digital

signatures, dan plastic cards.

b. Pengendalian Input (Input Control)

Menurut Weber (1999, p420-450), komponen pada subsistem input

bertanggung jawab dalam mengirimkan data dan instruksi ke dalam sistem

aplikasi dimana kedua tipe atribut tersebut haruslah di validasi, selain itu

banyaknya kesalahan yang terdeteksi harus dikontrol sehingga input yang

dihasilkan akurat, lengkap, unik dan tepat waktu.

Pengendalian input merupakan hal yang kritis didasarkan 3 alasan, yaitu

jumlah pengendalian yang paling besar pada sistem informasi terhadap

kehandalan subsistem input, aktivitas pada subsistem input, yang bersifat

rutin, dalam jumlah besar dan campur tangan ini dapat mengalami

kebosanan sehingga cenderung mengalami error, subsistem input sering

menjadi target fraud. Banyak ketidakberesan yang ditemukan dengan cara

penambahan, penghapusan, atau pengubahan transaksi input.

15

2.2.2 COBIT

Menurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan dokumentasi

best practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan

manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan

masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik

yang dapat membantu dalam identifikasi IT controls issues. CobIT berguna bagi para IT

user karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan.

Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang TI

serta infrastrukturnya, menyusun strategic IT Plan, menentukan information

architecture, dan keputusan atas procurement (pengadaan/pembelian) mesin.

CobIT mendukung manajemen dalam mengoptimumkan investasi IT-nya

melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu

kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus

memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya

dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan

bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan

informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI

merupakan suatu elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan

bisnis terhadap :

1. Efektifitas, untuk memperoleh informasi yang relevan dan berhubungan dengan

proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat

dipercaya dan tepat waktu.

16

2. Efensiensi, memfokuskan pada ketentuan informasi melalui penggunaan sumber

daya yang optimal.

3. Kerahasiaan, memfokuskan proteksi terhadap informasi yang penting dari orang

yang tidak memiliki hak otorisasi.

4. Integritas, Berhubungan dengan keakuratan dan kelengkapan informasi sebagai

kebenaran yang sesuai dengan harapan dan nilai bisnis.

5. Ketersediaan, Berhubungan dengan informasi yang tersedia ketika diperlukan dalam

proses bisnis sekarang dan yang akan datang.

6. Kepatuhan, Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses

bisnis.

7. Keakuratan informasi, Berhubungan dengan ketentuan kecocokan informasi untuk

manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan

kelengkapan laporan pertanggungjawaban.

Kerangka kerja CobIT terdiri atas beberapa arahan (guidelines),yaitu :

• Control Objectives terdiri dari 4 tujuan pengendalian tingkat-tingkat (high-level

control objectives) yang tercermin dalam 4 domain, yaitu: plan & organize,

acquire & implement, deliver & support, dan monitor & evaluate.

• Audit Guidelines, berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed

control objectives) untuk membantu para auditor dalam memberikan management

assurance dan atau saran perbaikan.

• Management guidelines, berisi arahan, baik secara umum maupun spesifik,

mengenai apa saja yang mesti dilakukan.

17

Gambar 2.1 CobIT Business Control Objectives-IT Governance

CobIT Framework mencakup tujuan pengendalian yang terdiri dari 4 domain yaitu:

1. Perencanaan & Organisasi (plan and organize )

Yaitu mencakup pembahasan tentang idenifikasi dan strategi investasi TI yang dapat

memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya

identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur

pelaksanaanya (dari berbagai perspektif).

18

2. Perolehan & Implementasi (Acquire and implement)

Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI, diidentifikasi,

dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis

perusahaan.

3. Penyerahan & Pendukung (deliver and support)

Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap

kegiatan operasional bisnis (tingkat jasa layanan TI aktual atau service level) dan

aspek urutan (Prioritas impelementasi dan untuk pelatihannya).

4. Monitor & evaluasi (Monitor and Evaluate)

Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan

dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal

yang baik.

19

Empat domain pada CobIT Framework tersebut selanjutnya dirinci menjadi 34

high-level control objectives (dan selanjutnya dirinci ke dalam 215 detail control

objectives), sebagai berikut:

Cobit Domain High Level Objectives 1.Plan and Organize 1. Define a strategic IT plan and direction

2. Define the information architecture 3. Determine technological direction 4. Define IT processes, organization and relationship 5. Manage the IT investment 6. Communicate management aim and direction 7. Manage IT human resources 8. Manage Quality 9. Assess and manage IT risks 10.Manage projects

2.Acquire and implement

1. Identify automoted solutions 2. Acquire and maintain application software 3. Acquire and maintain techonology infrastructure 4. Enable operation and use 5. Procure IT resources 6. Manage changes 7. Install and accredit solutions and changes

3. Deliver and support

1. Define and manage service levels 2. Manage third-party services 3. Manage performance and capacity 4. Ensure continuos service 5. Ensure systems security 6. Identify and allocate costs 7. Educate and train users 8. Manage service desk and incidents 9. Manage the configuration 10.Manage problems 11.Manage data 12.Manage the physycal environment 13.Manage operations

4. Monitor and Evaluate 1. Monitor and evaluate IT processes 2. Monitor and evaluate internal control 3. Ensure regulatory compliance 4. Provide IT Governance

Tabel 2.1 Domain & High Level Controls CobIT

20

2.2.2.1 Domain Plan and Organise (PO)

PO1 Menetapkan Rencana Strategis IT (Define a strategic IT Plan)

Perencanaan strategis TI diperlukan untuk mengelola dan memimpin semua

sumber daya TI seiring dengan strategis dan prioritas bisnis. Fungsi Teknologi

Informasi dan pemegang saham bisnis bertanggung jawab untuk menjamin hasil yang

optimal direalisasikan dari proyek dan portofolio pelayanan. Strategi dan prioritas bisnis

akan tercerminkan di dalam portofolio dan dilaksanakan oleh perencanaan taktis TI,

yang menetapkan sasaran yang singkat, rencana tindakan dan tugas-tugas yang

dimengerti dan di terima oleh kedua bisnis dan teknologi informasi.

PO2 Mendefinisikan Arsitektur Informasi (Define the Information Architecture)

Proses ini memperbaiki kualitas keputusan manajemen dengan menyakinkan

bahwa informasi yang disediakan dapat diandalkan dan aman, dan memungkinkan

sumber daya sistem informasi yang masuk akal untuk membandingkan strategi bisnis

secara wajar. Proses teknologi informasi ini juga diperlukan untuk menambah

pertanggungjawaban atas integritas dan keamanan data dan untuk meningkatkan

efektifitas dan control untuk berbagai informasi melintasi aplikasi-aplikasi dan entitas

yang memenuhi persyaratan bisnis TI.

PO3 Menetapkan Arah Teknologi (Determine Techonological Direction)

Fungsi pelayanan informasi menentukan jurusan teknologi untuk membantu

bisnis. Ini memerlukan kreasi dari perencanaan infrastruktur teknologi dan sebuah

dewan arsitektur yang menentukan dan mengelola ekspektasi yang jelas dan realitas

21

tentang teknologi yang mana yang dapat menawarkan berdasarkan produk, pelayanan

atau jasa dan mekasnisme pengantaran. Rencana tersebut diperbarui secara teratur dan

meliputi aspek-aspek seperti arsitektur sistem, arah teknologi, rencana akuisisi, standar,

strategi dan kemungkinan perpindahan.

PO4 Mendefinisikan Proses TI, Organisasi, dan Hubungannya (Define the IT

processes, Organisation and Relationships)

Organisasi teknologi Informasi ditetapkan dengan mempertimbangkan syarat-

syarat bagi staf, keterampilan, fungsi, kekuasan, tugas, tanggung jawab, dan

pengawasan. Proses-proses, kebijakan-kebijakan administratif dan prosedur-prosedur

semuanya berada pada tempatnya untuk semua fungsi, dengan perhatian spesifik untuk

mengkontrol, kepastian mutu, pengelolaan resiko, keamanan informasi, kepemilikan

data dan sistem, dan pemisahan tugas atau kewajiban.

PO5 Mengatur Investasi TI (Manage the IT Investment)

Sebuah kerangka dibuat dan dipelihara untuk mengelola program investasi

Teknologi Informasi dan yang meliputi biaya, keuntungan, prioritasisasi dalam

anggaran, proses penganggaran dan pengelolaan berdasarkan anggaran yang formal.

Pemegang saham dikonsultasikan untuk mengenali dan mengkontrol total biaya dan

manfaat dalam konteks rencana strategis dan taktis TI dan memulai tindakan korektif

dimana diperlukan.

22

PO6 Mengkomunikasikan Tujuan Dan Arahan Manajemen (Communicate

Management Aims and Direction)

Manajemen mengembangkan kerangka kontrol enterprise teknologi informasi

dan menetapkan serta menyampaikan kebijakan-kebijakan dan prosedur, yang disetujui

oleh manajemen. Komunikasi mendukung prestasi dari tujuan TI dan menjamin

kesadaran dan pengertian bisnis dan resiko, tujuan dan arah TI.

PO7 Mengelola Sumber Daya Manusia TI (Manage IT Human Resources)

Tenaga kerja yang kompeten diperoleh dan dipertahankan untuk kreasi dan

pengantaran pelayanan TI kepada bisnis. Ini tercapai dengan mengikuti ketetapan dan

penerapan yang disetujui dahulu yang membantu perekrutan, pelatihan, mengevaluasi

performa, kenaikan pangkat dan pemberhentian hubungan kerja. Proses ini adalah kritis

karena orang adalah aset yang penting dan penentuan serta kontrol lingkungan internal

sangat tergantung atas motivasi dan kompetensi personalia yang memenuhi persyaratan

bisnis.

PO8 Mengatur Kualitas (Manage Quality)

Sistem Manajemen Kualitas dikembangkan dan dipelihara meliputi

perkembangan dan proses akuisisi dan standar yang terbukti. Ini dapat dilaksanakan

dengan perencanaan, implementasi, dan mempertahankan QMS dengan memberikan

persyaratan, prosedur dan kebijakan yang bermutu. Perbaikan terus-menerus dapat

tercapai dengan terus-menerus mengamati, menganalisa, dan bertindak pada

penyimpangan-penyimpangan dan menyampaikan hasil kepada pemegang saham.

23

PO10 Mengatur Proyek (Manage Projects)

Sebuah program dan kerangka manajemen proyek untuk manajemen seluruh

proyek TI didirikan. Kerangka tersebut menjamin prioritas dan koordinasi yang benar

dari semua proyek. Kerangka tersebut termasuk rencana induk, pembagian sumber

daya, definisi tugas yang telah disetujui, persetujuan oleh pemakai, pendekatan yang

bertahap untuk pengantaran tugas, jaminan mutu, rencana resmi, dan pengujian dan

peninjauan kembali paska-implementasi setelah instalasi untuk menjamin pengaturan

resiko proyek dan nilai pengantaran kepada bisnis.

2.2.2.2 Domain Acquire and Implement (AI)

AI1 Identifikasi Solusi-solusi Otomatis (Identify Automated Solutions)

Control objective AI1 merupakan salah satu sasaran kontrol yang berfokus pada

pengindentifikasian solusi terotomatisasi. Tujuan yang ingin dicapai pada proses ini

adalah menjamin efektifitas dan efisiensi sesuai pendekatan dalam hal kepuasan

pengguna. Sehingga information criteria yang harus dipenuhi meliputi effectiveness dan

efficiency. Sedangkan sumber daya teknologi informasi yang terlibat dalam proses ini

antara lain sistem aplikasi, teknologi, dan fasilitas. Proses ini meliputi kejelasan akan

apa yang dibutuhkan, pertimbangan dan berbagai solusi yang ada, meninjau ulang

kemampuan teknologi dan ekonomi, analisis resiko dan analisis rugi laba, serta

keputusan final untuk membuat atau membeli solusi yang ada.

24

AI2 Mendapatkan Dan Memelihara Perangkat Lunak Aplikasi (Acquire and

Maintain Application Software)

Control objective AI2 merupakan suatu proses yang mencakup rancangan

aplikasi, pendekatan yang tepat atas kontrol aplikasi dan segi keamanan yang

diperlukan, pengembangan dan konfigurasi yang sesuai dengan standar. Proses ini

bertujuan untuk menyediakan fungsi-fungsi yang telah terotomasi dan secara efektif

mampu mendukung proses bisnis.

AI3 Mendapatkan Dan Memelihara Infrastruktur Teknologi (Acquire and

Maintain Technology Infrastructure)

Control objective AI3 merupakan proses pengadaan dan perawatan infrastruktur

teknologi dengan tujuan penyediaan berbagai platform yang tepat untuk mendukung

aplikasi dalam proses bisnis terkait. Effectiveness dan efficiency serta integrity sebagai

secondary priority merupakan faktor-faktor information criteria yang perlu

diperhatikan dalam proses ini. Sementara itu, teknologi menjadi satu-satunya sumber

daya teknologi informasi yang dimungkinkan secara aplikatif pada proses ini.

A14 Menjalankan Operasi Dan Menggunakannya (Enable Operation and Use)

Control Objective AI4 merupakan proses yang membutuhkan produksi

dokumentasi, dan petunjuk bagi pengguna TI, dan menyediakan pelatihan untuk

memastikan penggunaan, pengoperasian aplikasi dan infrastruktur berjalan dengan

semestinya.

25

AI5 Pengadaan Sumber Daya TI (Procure IT Resources)

Control Objectives AI5 merupakan proses yang bertujuan untuk memperoleh

sumber daya TI yang meliputi orang, perangkat keras, perangkat lunak dan layanan. Hal

ini membutuhkan penjelasan dan pelaksanaan prosedur procure, yaitu pemilihan

vendor, aturan yang disetujui dalam kontrak, dan proses akuisisi itu sendiri. Dengan

demikian membantu perusahaan memiliki sumber daya TI yang dibutuhkan tepat pada

waktunya dan dengan biaya yang efektif.

AI6 Mengelola Perubahan (Manage Changes)

Control Objective AI6 merupakan salah satu sasaran kontrol yang berfokus pada

proses untuk mengelola perubahan. Perubahan yang dimaksud adalah perubahan

terhadap sistem, baik secara keseluruhan maupun sebagian. Tujuan dari sasaran kontrol

ini adalah untuk meminimalkan adanya kemungkinan gangguan. Perubahan dan

kesalahan yang tidak terotorisasi. Effectivenes, efficiency, integrity dan availability

merupakan unsur-unsur information criteria yang perlu diperhatikan untuk memenuhi

proses ini.

AI7 Instalasi Dan Akreditasi Solusi serta Perubahan (Install and Accredit Solutions

and Changes)

Berfokus pada proses instalasi dan akreditasi sistem dengan memenuhi

kebutuhan bisnis untuk verifikasi dan konfirmasi bahwa solusi yang diberikan sesuai

dengan hasil yang diharapkan. Tujuan tersebut dapat dicapai melalui adanya realisasi

suatu proses migrasi instalasi yang tepat dan sesuai.

26

2.2.2.3 Domain Deliver and Support (DS)

DS1 Menetapkan Dan Mengatur Tingkat Layanan (Define and Manage Service

Levels)

Tujuan dilakukan proses ini adalah memastikan kesejajaran dari kunci service TI

dengan strategi service yang meliputi proses pemantauan dan laporan rutin kepada

pemegang saham dalam penyelesaian tingkat service. Yang perlu dilakukan untuk

memenuhi proses ini adalah dengan mengindentifikasikan kebutuhan service,

pemahaman pada tingkat service. Proses ini dapat dicapai dengan membuat persetujuan

internal dan eksternal yang sejalan dengan kebutuhan dan kemampuan penyampaian,

melaporkan tingkat service, mengindentifikasi dan menyampaikan kebutuhan service

yang baru yang telah diperbaharui untuk membuat perencanaan strategi.

DS2 Pengaturan Layanan Pihak Ke Tiga (Manage Third-party Services)

Tujuan dilakukan proses ini adalah supaya jasa yang diberikan oleh pihak ketiga

dapat memuaskan dan memenuhi kebutuhan organisasi. Yang perlu dilakukan untuk

memenuhi proses ini adalah menentukan peran dan tanggung jawab pihak ketiga, hal

yang ingin didapatkan dari pihak ketiga, membangun hubungan baik dengan pihak

ketiga, mengelola resiko, serta mengawasi kinerjanya. Apabila proses ini dilakukan

dengan baik, maka organisasi dapat meminimalkan resiko yang timbul akibat kinerja

pihak ketiga yang buruk. Proses ini dapat dicapai dengan mengindentifikasi jasa

supplier, resiko yang ditimbulkan oleh supplier, dan mengawasi kinerja dari supplier.

27

DS3 Mengatur Kinerja Dan Kapasitas (Manage Performance and Capacity)

Tujuan dilakukan proses ini adalah dalam mengatur kapasitas pencapaian sumber

daya TI diperlukan suatu proses meninjau ulang kembali pencapaian sumber daya

tersebut sekarang ini. Proses ini meliputi meramalkan kebutuhan yang diperlukan untuk

masa mendatang berdasarkan apa yang dibutuhkan, penyimpanan, dan kebutuhan yang

tidak diduga. Proses ini menyediakan jaminan sumber daya informasi yang selalu

tersedia yang mendukung kebutuhan bisnis secara terus menerus. Proses ini dapat

dicapai dengan merencanakan serta mengembangkan kapasitas dan kemampuan,

mengawasi dan melaporkan pencapaian dari sistem, meramalkan pencapaian dari sistem

di masa mendatang.

DS4 Memastikan Ketersediaan Layanan (Ensure Continuous Service)

Tujuan dilakukan proses ini adalah untuk mengembangkan, memelihara, menguji

perencanaan kesinambungan TI, memanfaatkan penggunaan offsite backup storage dan

menyediakan pelatihan secara periodik dan berkala. Suatu jasa yang efektif dapat

memperkecil proses dari dampak gangguan TI dalam kunci fungsi bisnis dan proses

tersebut. Proses ini dapat dengan mengembangkan serta memelihara kontinuitas TI,

pelatihan dan pengujian rencana kontinuitas TI, penyimpanan salinan rencana dan data

dalam suatu lokasi tertutup.

DS5 Memastikan Keamanan Sistem (Ensure Systems Security)

Tujuan dilakukan proses ini adalah untuk mengatur integritas informasi dan

menjaga aset-aset yang diperlukan dalam proses manajemen keamanan. Proses ini

28

meliputi menetapkan dan memelihara peran keamanan TI dan pertanggungjawaban,

kebijakan-kebijakan, ukuran-ukuran dan prosedur-prosedur. Proses ini dapat dicapai

dengan memahami kebutuhan keamanan, kelemahan sistem dan ancaman-ancaman,

mengatur identitas pengguna dan otorisasi dalam metode standarisasi, dan pengujian

keamanan secara berkala.

DS6 Identifikasi dan Mengalokasi Biaya (Identify and Allocate Costs)

Tujuan dari proses ini adalah menciptakan kebutuhan untuk sistem yang baik

untuk mengalokasikan biaya TI untuk bisnis memerlukan pengukuran biaya TI yang

tepat dan persetujuan dengan pengguna bisnis dalam pengalokasian yang baik. Proses

ini meliputi membangun dan menjalankan sistem untuk mengetahui, mengalokasikan

dan melaporkan biaya TI kepada pengguna jasa. Proses ini dapat diwujudkan dengan

membangun dan menyetujui kualitas dan jumlah dari service yang ada,

mengimplementasikan proses berdasarkan persetujuan kebijakan.

DS7 Mendidik dan Melatih Pengguna Akhir (Educate and Train Users)

Tujuan dari proses ini adalah agar pengguna dapat menggunakan sistem dengan

efektif dan efisien, serta memastikan pengguna sistem mematuhi prosedur dan

kebijakan yang berlaku. Proses ini dapat diwujudkan dengan membuat materi pelatihan,

mengadakan pelatihan, serta meninjau ulang hasil pelatihan tersebut apakah membawa

pengaruh yang berarti terhadap kinerja pengguna sistem.

29

DS8 Mengelola Bagian Layanan dan Insiden (Manage Service Desk and Incidents)

Tujuan dari proses ini adalah menghasilkan respon secara berkala dan efektif untuk

menanggapi berbagai pertanyaan pengguna TI dan masalah-masalah, memerlukan

pelayanan dan pelaksanaan yang baik. Proses ini dapat diwujudkan dengan menginstal

dan mengoperasikan bagian service, memantau dan melaporkan, menggambarkan

prosedur dan kriteria peningkatan yang baik.

DS10 Mengelola Masalah (Manage Problems)

Manajemen masalah-masalah yang efektif memerlukan identifikasi dan

klasifikasi dari masalah-masalah proses manajemen masalah meliputi rekomendasi

perumusan masalah untuk perbaikan, pemeliharaan catatan-catatan masalah, mereview

status dari tindakan penyelesaian. Proses ini terfokus pada mencatat, memantau dan

menyelesaikan masalah-masalah operasional, investigasi sumber sebab dari semua

masalah yang penting dan menggambarkan solusi untuk identifikasi masalah operasi.

Proses ini dapat diwujudkan dengan menjalankan analisis sumber masalah pada laporan

masalah-masalah, menganalisis petunjuk-petunjuk, mengambil alih masalah-masalah

dan menjalankan penyelesaian masalah.

DS11 Mengelola Data (Manage Data)

Manajemen data yang efektif memerlukan identifikasi data yang penting. Proses

manajemen data juga meliputi pembentukan prosedur yang efektif untuk mengatur

dokumen-dokumen, menyimpan dan memperoleh kembali data. Manajemen data yang

efektif membantu menentukan kualitas, ketepatan waktu dan ketersediaan dari data

30

bisnis. Proses ini terfokus pada pemeliharaan kelengkapan, ketepatan, ketersediaan dan

perlindungan data. Proses ini dapat terwujud dengan back-up data dan pengujian

tempat penyimpanan, mengatur penyimpanan data internal dan eksternal, keamanan

distribusi data dan peralatan.

DS12 Mengelola Lingkungan Fisik (Manage the Physical Environment)

Perlindungan terhadap peralatan komputer dan perangkat-perangkat lainnya

memerlukan fasilitas fisik dengan perancangan yang baik dan pengaturan yang baik.

Proses ini terfokus untuk menetapkan dan memelihara lingkungan fisik yang tepat

untuk melindungi asset-aset TI dari akses, kerusakan atau pencurian. Proses ini dapat

terwujud dengan mengimplementasikan kematangan keamanan fisik dan memilih dan

mengatur fasilitas.

DS13 Mengelola Operasi (Manage Operations)

Memproses data yang lengkap dan akurat memerlukan manajemen yang efektif

dari prosedur-prosedur pemrosesan data dan pemeliharaan yang baik pada hardware.

Proses ini terfokus untuk menemukan mutu service operasional untuk penjadwalan

memproses data, menjaga hasil keluaran dan memantau dan memelihara infrastruktur.

Proses ini dapat tercapai dengan mengoperasikan lingkungan TI dengan baik dengan

berdasarkan pada mutu service dan menjalankan intruksi-intruksi serta memelihara

infrastruktur TI.

31

2.2.2.4 Domain Monitor and Evaluate

ME1 Mengawasi dan Mengevaluasi Kinerja TI (Monitor and Evaluate IT

Performance)

Manajemen kemampuan TI yang efektif memerlukan proses pemantauan. Proses

ini meliputi menggambarkan petunjuk-petunjuk kemampuan yang relevan, sistematis

dan laporan secara berkala dari kemampuan dan tindakan yang cepat atas

penyimpangan. Proses ini terfokus pada memantau dan melaporkan proses-proses

matrik dan mengidentifikasi serta mengimplementasi kemampuan dari tindakan

penyelesaian. Proses ini dapat tercapai dengan menyusun dan menterjemahkan proses

laporan kemampuan ke dalam laporan manajemen.

ME4 Menyediakan Tata Kelola TI (Provide IT Governance)

Membangun kerangka kerja governance yang efektif meliputi mengidentifikasi

struktur organisasi, berbagai proses, kepemimpinan, peran dan tanggung jawab untuk

memastikan bahwa investasi-investasi TI perusahaan telah berlangsung didalam

kesesuaian dengan strategi dan objektivitas perusahaan. Proses ini terfokus pada

mempersiapkan laporan komite pada strategi TI, kemampuan dan resiko-resiko dan

merespon kebutuhan governance yang berjalan dengan peraturan komite. Proses ini

dapat tercapai dengan membangun integrasi kerangka kerja IT governance menjadi

corporate governance.

32

2.2.2.5 Maturity Model

Menurut Gondodiyoto (2007, p66-68) menyatakan bahwa pendekatan yang

sering dipakai untuk melakukan penilaian terhadap pengelolaan suatu teknologi

informasi atau sistem informasi adalah dengan menggunakan konsep maturity model

yang dikembangkan oleh ISACA.

Maturity model dapat membantu pihak profesional untuk dapat menjelaskan

kepada manajemen perusahaan mengenai posisi dari tata kelola TI yang ada di

perusahaan saat ini dan dapat menentukan target untuk masa yang akan datang. Tingkat

maturity dapat dipengaruhi oleh tujuan bisnis dari perusahaan, lingkungan industri.

Lebih spesifik lagi, tingkat maturity tata kelola TI tergantung seberapa besar tingkat

ketergantungan perusahaan terhadap penggunaan TI, kesempurnaan dari TI yang ada

dan yang paling penting seberapa bernilainya suatu informasi dalam perusahaan

tersebut.

Gambar 2.2 Graphic Representation of Maturity Models

33

Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi

maturity model secara umum seperti di bawah ini :

a. Level 0 Non-existent

Pengelolaan teknologi informasi atau sistem informasi masih dalam tahap paling

awal, masih pemula. Setiap proses belum terdefinisi dengan baik. Organisasi belum

menyadari adanya persoalan yang perlu ditangani.

b. Level 1 Initial

Organisasi telah menyadari adanya persoalan yang perlu untuk ditangani, tetapi

belum ada standar proses yang harus dilakukan. Penanganan persoalan dilakukan

berdasarkan kasus-kasus yang muncul. Secara umum manajemen masih belum

terorganisasi.

c. Level 2 repeatable

Proses telah dikembangkan pada tahap ini sehingga telah dilakukan prosedur

yang sejenis untuk kegiatan yang sama. Belum ada prosedur standar yang diterapkan

dan tanggung jawab merupakan tanggung jawab individu.

d. Level 3 Defined

Prosedur telah distandarisasi, didokumentasikan, dan dikomunikasikan melalui

pelatihan. Tahap ini memulai mengenal metodologi pengembangan sistem dan masih

sangat tergantung individu apakah mengikuti standar yang ada maupun tidak tetapi

telah ada formalisasi untuk setiap kegiatan.

34

e. Level 4 Managed

Pada tahap ini manajemen mengawasi dan mengukur hal-hal yang telah

dipenuhi dengan prosedur, serta mengambil tindakan ketika proses tidak berjalan

dengan efektif. Proses-proses yang ada merupakan bagian dari pengembangan yang

konstan. Pada tahap ini telah dilakukan otomatisasi tetapi masih terbatas dan terpisah-

pisah.

f. Level 5 Optimised

Proses yang ada telah disesuaikan dengan best practice, berdasarkan hasil

pengembangan secara terus-menerus dengan organisasi-organisasi lain. Teknologi

informasi digunakan sebagai bagian yang terintegrasi dengan aliran kerja, sebagai alat

bantu meningkatkan kualitas dan efektifitas, dan membuat organisasi dapat cepat untuk

beradaptasi.

2.2.3 Perspektif yang Digunakan

Perspektif yang terdapat dalam CobIT terbagi menjadi 4, yaitu :

• Perspektif financial

Dalam perspektif ini mencakup tujuan bisnis berikut ini:

1. Memberikan pengembalian investasi T- investasi bisnis diaktifkan

2. Mengelola IT – risiko bisnis yang terkait

3. Meningkatkan corporate governance dan transparansi

35

• Perspektif pelanggan

Dalam perspektif ini mencakup tujuan bisnis berikut ini:

1. Meningkatkan orientasi pelanggan dan layanan

2. Menawarkan produk dan layanan yang kompetitif

3. Membangun kontinuitas dan ketersediaan layanan

4. Buat kelincahan dalam merespon perubahan kebutuhan bisnis

5. Mencapai optimalisasi biaya pelayanan

6. Mendapatkan informasi yang dapat diandalkan digunakan untuk strategis

pengambilan keputusan

• Perspektif internal

Dalam perspektif ini mencakup tujuan bisnis berikut ini:

1. Meningkatkan dan mempertahankan fungsi proses bisnis

2. Rendah biaya proses

3. Memberikan kepatuhan terhadap hukum, peraturan dan kontrak eksternal

4. Memberikan kepatuhan terhadap kebijakan internal

5. Mengelola perubahan bisnis

6. Meningkatkan dan mempertahankan produktivitas operasional dan staf

• Perspektif pembelajaran dan pertumbuhan

Dalam perspektif ini mencakup tujuan bisnis berikut ini:

1. Mengelola produk dan inovasi bisnis

2. Mendapatkan dan mempertahankan orang-orang yang terampil dan

termotivasi.

36

2.2.4 Linking IT to Business Goal

Tabel 2.2 Linking Business Goals to IT Goals

37

Tabel 2.3 Linking IT Goals To IT Proccesses

38

IT PROCESS TO IT GOALS MATRIX

Tabel 2.4 IT Process To IT Goals Matrix